我的lambda函数负责ssh连接到某些EC2实例。目前,我只是将密钥文件存储在lambda的部署包中,但这显然不是生产所需的解决方案。我已经研究了几种方法,例如将密钥存储在私有S3存储桶中,并将其存储为加密的环境变量。但是,我并不总是为从S3存储桶中提取密钥而感到兴奋,并且加密的环境变量似乎也不会在未来的lambda函数中持续存在。其他用于存储供lambda使用的私钥的行业标准方法是什么?
答案 0 :(得分:3)
您可以将加密的机密存储在Secrets Manager或Parameter Store中。对于某些类型的机密,您可以在“机密管理器”中将其自动旋转。限制哪些IAM角色可以访问这些机密,您可以减少潜在的滥用。
另外,请注意可以使用的选项,以避免需要通过SSH连接到EC2实例: