为了使应用程序能够读取参数存储值,我需要授予它这样做的权限,并且如果使用了安全字符串值,则应用程序/消费者还需要访问对其进行加密的KMS密钥。
但是,如果我已经必须首先明确允许访问该值,那么使用安全字符串有什么意义呢?如果我允许您请求该参数,那么我当然也将允许您对其解密。此外,如果值可以访问KMS密钥并且被“解密”请求,则实际上会将这些值返回解密给请求者,因此也与飞行中的安全性无关。
供参考:
https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameter.html https://aws.amazon.com/blogs/mt/the-right-way-to-store-secrets-using-parameter-store/
答案 0 :(得分:4)
这是用于加密EBS卷的相同用例。它会阻止Amazon员工或任何偷走硬件或其他东西的人访问您的敏感资料。