我正在使用EC2 Instance profile credentials来允许AWS EC2实例访问其他AWS服务。
最近,我实现了MongoDB Client-Side Field-Level Encryption,已将其用作AWS KMS的KMS提供程序。 MongoDB Documentation for CSFLE提到KMS提供者应该具有映射到IAM用户的秘密密钥和访问密钥。
这样,我将必须创建另一个IAM用户,然后分别维护这些凭据。一种更简单(更安全)的方法是使用DefaultCredentialsProvider中的software.amazon.awssdk:auth,并且可以使用实例概要文件中的凭据,这些凭据可以访问KMS。但这对我不起作用,MongoClient失败,因为KMS拒绝了使用的安全令牌。
不允许这种访问KMS的方式背后有什么原因吗?
答案 0 :(得分:1)
与所有项目一样,CSFLE的最初实施具有一定的范围。此范围不包括使用实例角色进行凭据识别的功能。
我建议您将请求提交给https://feedback.mongodb.com/进行审议。