red*_*888 3 security windows powershell amazon-ec2 amazon-web-services
我正在将敏感凭据注入用户数据,但不确定这是否安全。
我正在使用 userdata 属性运行一个脚本,该脚本在实例上线时将其加入域
并像这样传递信用:
$ADUser = 'me'
$ADPassword = 'Pass'
$ADPassword = $ADPassword | ConvertTo-SecureString -AsPlainText -Force
$ADCred = New-Object System.Management.Automation.PSCredential -ArgumentList $ADUser, $ADPassword
Add-Computer -Credential $ADCred -DomainName mydom.local -NewName testing
Restart-Computer -force
我正在使用New-EC2Instancecmdlet 启动它并将此脚本作为 userdata 传入
我的凭据是否会出现在 aws 日志的错误输出中?或者别的地方?凭证在注入 PS 命令之前是安全的,我担心它在 AWS 中的位置。
不要将凭据和其他敏感数据放在用户数据脚本中。
AWS 文档强调:
重要的
尽管您只能从实例本身内部访问实例元数据和用户数据,但数据不受加密方法保护。任何可以访问实例的人都可以查看其元数据。因此,您应该采取适当的预防措施来保护敏感数据(例如长期存在的加密密钥)。您不应将敏感数据(例如密码)存储为用户数据。
来源:http : //docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html
相反,为 EC2 实例创建一个 IAM 角色并授予它执行需要执行的权限。然后将 IAM 角色分配给 EC2 实例。