我使用EC2实例配置文件凭据允许AWS EC2实例访问其他AWS服务。
最近,我实现了MongoDB Client-Side Field-Level Encryption,AWS KMS已被用作其KMS提供商。CSFLE的MongoDB文档提到,KMS提供者应该有映射到IAM用户的密钥和访问密钥。
这样,我将不得不创建另一个IAM用户,然后分别维护这些凭据。一种更简单(也更安全(的方法是使用software.amazon.awssdk:auth中的DefaultCredentialsProvider,并且可以使用实例配置文件中的凭据来访问KMS。但这对我来说不起作用,MongoClient失败了,因为KMS拒绝了使用的安全令牌。
不允许以这种方式访问KMS背后有什么原因吗?
与所有项目一样,CSFLE的初始实现也有一定的范围。此范围不包括使用实例角色进行凭据标识的能力。
我建议你向https://feedback.mongodb.com/以供考虑。