我正在使用Terraform创建多个AWS SecretsManager。 我应该这样布置它们吗: 在TEAM1 / REGION1 / EC2处,将“秘密密钥”和“秘密值”设置为:
ec2_username = guest
ec2_password = password1
在TEAM1 / REGION1 / RDS上,将“秘密密钥”和“秘密值”设置为:
rds_username = admin
rds_password = password2
或者我应该这样布置它们: 在TEAM1 / REGION1,将“秘密密钥”和“秘密值”设置为:
ec2_username = guest
ec2_password = password1
rds_username = admin
rds_password = password2
第一种方法对我来说很容易使用IAM来控制访问。我们可以选择为ec2登录启用密码轮换,在rds中禁用密码轮换,等等。
第二种方法对我来说很容易管理和搜索。假设我们有很多团队,每个团队都有多项服务。同一团队的信息将被分组在一起,就像使用文件夹来组织文件一样。
我应该使用哪个?
另一个问题是:使用terraform,看起来我需要创建一个虚拟密钥和值,然后从控制台手动添加真实的密钥。使用Terraform设置机密管理员吗?