我被要求提出一个解决方案,以确保AWS上的所有Windows服务器都使用SSM为管理员团队创建了本地帐户。我们需要能够审核此问题并确保可以轻松更改密码。我知道,我知道,我应该喜欢一个域的工作,但是无论出于何种原因,我都应该喜欢!
使用PowerShell脚本创建文档是可以的,但是将密码放入脚本是一个问题,这需要用纯文本。
我认为我可以使用AWS KMS来加密密码,并让SSM即时解密。问题是,我不能解密仅适用于SSM而不是登录服务器上的任何人。如果OneOne可以降低密码,那么它也可能在纯文本中:/
我希望这是有道理的!
任何想法或建议都会非常感激。
谢谢
对您来说可能太晚了,但是我唯一能想到的就是将密码作为SSM参数并为SSM创建父级lambda。您可以指定Lambda仅通过策略访问KMS密钥。
这增加了一个额外的步骤(必须致电lambda打电话和SSM),但它可以限制访问更高的访问。
我相当确定SSM参数足够安全以运输密码,但我建议在拉动触发器之前对此进行仔细检查。
理想的解决方案是在实例上检测到您是由SSM来的,但我认为这是不可能的。