我有一个面向公众的AWS EC2服务器,它具有mongoDB服务器的数据库密码。如何加密数据库密码?
我找到了一种使用密钥管理服务的方法,但由于要与KMS通信,我必须在服务器上保存我的AWS访问和密钥才能访问API。如果有人只是通过运行CLI闯入服务器,是否有人能够获取密码?
答案 0 :(得分:2)
您无需在EC2上存储访问+密钥。
您可以将AWS IAM实例配置文件分配给EC2,以允许EC2执行KMS解密。
尽管如此,让面向公众的服务器与您的数据库通信仍然是一个坏主意。获得访问权限的攻击者可以使用IAM实例配置文件来KMS解密密钥。
将您的EC2放入ALB,并将ALB暴露给互联网。仅从ALB将您的网络流量暴露给EC2。