现在,我将用户名和密码作为环境变量传入。变量是从另一个文件中检索的,因此使用git存储的cloudformation不包含密码和用户名,这是很好的。但是,现在在控制台中查看lambda时,它们以纯文本格式存储。
以最不依赖云提供商的方式存储这些凭据的最佳实践是什么?我基本上只是不想使用KMS或任何其他存储AWS服务的密钥。
出于完整性考虑,我还考虑过将密码存储在dynamodb表中。然后,我将使用IAM来检索那些凭据。但是,这些凭据仍以明文形式存储。如果这是检索凭据的最佳方法,那么有一种对其进行加密的最佳方法,或者不是最佳路径。
感谢所有评论和建议。