Безпечне зберігання облікових даних AWS на персональній машині

Як я можу безпечно зберігати облікові дані AWS на персональних машинах?

Детально:

Кожен з нашої команди потребує облікових даних AWS із безпеки для виконання адміністративних завдань (облікові дані розділені за роллю). Ці облікові дані зазвичай зберігаються в простому тексті в деяких конфігураційних файлах на диску. Я думаю, що це дуже небезпечно, особливо зважаючи на те, що дані розповсюджуються між членами команди, і в кінцевому підсумку створюються резервні копії тощо.

Я б вважав за краще зберігати ці облікові дані у зашифрованому вигляді (як, наприклад, ssh-ключі). Чи існує якийсь автоматизований спосіб зробити це? Або мені потрібно зламати якийсь скрипт bash, який використовує, наприклад, openssl для шифрування даних?

В Інтернеті є багато інформації про те, як захистити облікові дані в екземплярі EC2. Існує навіть ця функція ролей Amazon IAM , але це стосується лише EC2.

https://github.com/realestate-com-au/credulous, можливо, варто вивчити. З опису проекту:

Надійний - це інструмент командного рядка, який безпечно управляє обліковими записами AWS (IAM) . Метою є шифрування облікових даних за допомогою відкритого ключа SSH користувача, щоб лише користувач, який має відповідний приватний ключ SSH , міг їх бачити та використовувати. Крім того, інструмент також дозволить користувачеві легко повертати свої поточні дані, не порушуючи поточний робочий процес користувача.

Вступна стаття в блозі на http://techblog.realestate.com.au/protecting-your-aws-keys-with-credulous/ .

Чудове запитання - і залежно від того, хто відповість, у вас, ймовірно, доведеться пройти пару маршрутів. Я наведу вам приклад того, що ми використовуємо:

1. Створюйте ролі IAM на основі користувача (розробник, інфраструктура, безпека, аудит тощо) - настроюйте політику, щоб дозволити або заборонити конкретні дії на основі доступу користувача.

Приклад: дозволити всі дії ec2 для адміністратора. Або дозволити доступ лише на основі тегу чи підмережі для розробника тощо.

2. Запустіть ec2 екземпляри Linux з використанням конкретних ролей IAM. Запустіть примірник для кожної конкретної ролі або користувача (налаштуйте розмір / тип екземпляра відповідно до потреби, бюджету тощо)

3. Налаштуйте групу безпеки для кожного примірника, щоб дозволити лише конкретні підмережі або окремі IP-адреси, щоб ви могли заблокувати вхід трафіку до SSH.

4. Встановіть спеціальний користувач / пароль для SSH або приєднайтеся до домену.

5. Дозвольте кожному користувачеві ввійти або SSH в екземпляр Linux, присвоєний їх ролі або доступу користувача.

6. Ключі API та доступ тепер успадковуються від самої ролі IAM екземпляра, що робить необхідність зберігання ключів користувача нерелевантною. Просто переконайтеся, що ви блокуєте групу безпеки, лише надайте доступ певним користувачам у вікні Linux. Користувач повинен мати можливість писати сценарії за допомогою API AWS / використовувати функцію інструментів API як звичайну.

Ми використовуємо цей метод вже близько року - з додатковими налаштуваннями безпеки, як-от орендований час доступу, придбаний в AWS HSM, і він чудово працює.

Сподіваюся, що це допоможе вам або комусь іншому там.