AWS CLI - 如何加密凭证

Question

使用 aws configure 时，凭证以明文形式存储在我的工作站上。这是一个巨大的安全违规行为。我尝试在 aws cli github 上打开一个问题，但它很快就被关闭了。我直接使用 Terraform 和 aws cli，因此需要解决方法来支持这一点。

例子：

[MyProfile]
aws_access_key_id = xxxxxxxxxxxxxxx
aws_secret_access_key = yyyyyyyyyyyyyyyyyy
region=us-east-2
output=json

Answer 1

这是我能找到的最简单的解决方法。参考：

https://devblogs.microsoft.com/powershell/secretmanagement-and-secretstore-are-generally-available/

https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-source-external.html

https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.secretmanagement/?view=ps-modules

以下 powershell 创建一个加密的保管库。

#This will destroy existing AWS vault
#The Vault will be set accessible to the current User with no password.
#When AWS CLI invokes this there is no way to request a password.

Install-Module Microsoft.PowerShell.SecretManagement
Install-Module Microsoft.PowerShell.SecretStore

Set-SecretStoreConfiguration -Authentication None -Scope CurrentUser -Interaction None

Register-SecretVault -Name "AWS" -ModuleName Microsoft.PowerShell.SecretStore -DefaultVault -AllowClobber

Set-Secret -Vault "AWS" -Name "test" -Secret "test" 

Get-SecretVault

Write-Host "Vault Created"

这个 powershell 可以创建秘密。请注意，秘密可能会过期。

$profile = Read-Host -Prompt "Enter AWS Account Number" 
$aws_access_key_id = Read-Host -Prompt "Enter AWS access key"
$aws_secret_access_key = Read-Host -Prompt "Enter AWS secret access key"


$secretIn = @{
  Version=1;
  AccessKeyId= $aws_access_key_id;
  SecretAccessKey=$aws_secret_access_key;
  SessionToken= $null; #"the AWS session token for temporary credentials";
  #Expiration="ISO8601 timestamp when the credentials expire";
} 

$secret = ConvertTo-Json -InputObject $secretIn

Set-Secret -Name $profile -Secret $secret

这个名为credential_process.cmd的文件需要位于 terrform.exe 的路径上或旁边。

@echo off
REM This file needs to be accessible to the aws cli or programs using it.
REM To support other paths, copy it to C:\Program Files\Amazon\AWSCLIV2
Powershell.exe -Command  "Get-Secret -Vault AWS -Name %1 -AsPlainText "

最后在您的 {user}.aws\credentials 文件中放置以下条目：

[XXXXX-us-east-1]
credential_process = credential_process.cmd "XXXXX"
region=us-east-1
output=json

现在您可以使用以下命令运行 aws cli 命令（或 Terraform）：

aws ec2 describe-vpcs --profile XXXXX-us-east-1 

缺点：

• 无法阻止用户使用简单的 aws configure 语句并以明文形式存储凭证。
• 无法强制管理员使用此方法。

与其他 AWS 服务一样：

• 复杂性是不必要的。
• 文档非常详细，但不知何故总是缺少重要信息。
• 一切都是黑客工作。

可能性：

• 可以创建仅有权访问机密管理器中的某个机密（用户 2 凭据）的用户 (User1)。
• User1 凭据存储在本地 Vault 中。
• 在调用 credential_process.cmd 期间，User1 将从 Secret Manager 获取要使用的 User2 凭据
• 永远不会直接向 Person 提供 User2 凭据。
• 这将迫使用户使用上面的方法。
• 然而，这个的实现应该在 aws configure 中，而不是一起破解。这将允许其他依赖工具在配置完成后正常工作。