Я розгорнув свою програму Django в Elastic Beanstalk з наміром використовувати інтерфейс конфігурації змінної середовища для зберігання моїх ключів API, а не зберігати їх у своєму джерелі (як описано тут /programming//a/17878600 ).
Зробивши це, я з’ясував, що те, що Beanstalk називає змінними середовища, насправді не є змінними середовища оболонки (як згадується тут /programming//a/24564832/378638 ) і зберігаються в екземплярі у файлі конфігурації (як описано тут /programming//a/24566283/378638 ).
Мені це здається проблемою безпеки. Чи не є це поразкою метою збереження секретних ключів від джерела? Я розумію, що їх більше немає в репо, але вони все ще доступні в інстанції.
Я нерозумію ризик? Я по спадщині сисадмін, тому вибачте тут про своє незнання. Чи повинен я просто завантажувати змінні Beanstalk як змінні середовища оболонки через файл конфігурації та продовжувати роботу, оскільки файл доступний лише через root, чи моя стурбованість справедлива? Дякую.