小编Tob*_*sen的帖子

我正在使用Postgres Amazon RDS和Amazon ECS来运行我的docker容器.问题是.将RDS数据库的用户名和密码导入ECS上运行的docker容器的最佳做法是什么？

我看到几个选项:

• 将凭据构建​​到docker镜像中.我不喜欢这个,因为每个有权访问图像的人都可以获得密码.
• 将凭据放在ECS自动缩放组使用的启动配置的用户数据中.使用此方法,在我的ECS群集上运行的所有docker镜像都可以访问凭据.我也不是那么喜欢.这样,如果黑帽在我的任何服务(甚至不使用数据库的服务)中发现安全漏洞,他将能够获得数据库的凭据.
• 将凭据放入S3并使用ECS服务器具有的IAM角色控制对该存储桶的访问限制.将它们放入userdata也有同样的缺点.
• 将凭据放在ECS的任务定义中.我没有看到任何缺点.

您对最佳方法的看法是什么？我错过了任何选择吗？

问候,托比亚斯

我正在寻找一个 Java 数据库连接池，允许我对 Aurora MySQL 使用 AWS IAM 数据库身份验证。该池应该能够在 Tomcat context.xml 文件中工作。

我研究过 Tomcat DBCP、dbcp2、HikariCP 和 c3p0。但它们似乎都假设用户名和密码在应用程序启动时已知，并且在应用程序的生命周期中不会更改。

对于 IAM 数据库身份验证，凭证每 15 分钟更改一次，因此池需要在创建新连接时向 AWS IAM 请求新凭证（凭证可以缓存几分钟）。

这是在任何 Java 连接池中实现的吗？或者您知道如何让它发挥作用吗？