在AWS CLI environment:文档的docker-compose部分(cmd-ecs-cli-compose)中,声明如下:
重要
我们不建议将明文环境变量用于敏感>信息,例如凭证数据。
使用docker-compose和ECS任务定义存储敏感信息(如密码)的推荐方法是什么?为什么不建议使用纯文本?
答案 0 :(得分:2)
不建议对环境变量使用纯文本,因为docker不是安全容器,并且环境变量对所有可访问顶级Docker命名空间的进程都是可读的。因此,如果有人可以访问您的EC2实例上的/proc,他们可以通过查询容器内运行的进程来读取秘密。
我建议使用KMS对它们进行加密,或者将它们存储在Parameter Store或DynamoDB中,然后在启动时下载。