我有一个现有的ASP.NET/C#网站,我希望迁移到AWS。我目前将所有第三方API代币/凭据存储在我的Web.config文件中。
加密是通过与此类似的普通aspnet_regiis命令完成的:
aspnet_regiis -pe "connectionStrings" -app "/SampleApplication" -prov "RsaProtectedConfigurationProvider"
一切都很好。
搬到AWS世界,我知道我可以使用web.config文件做同样的事情,但是我想知道是否有更好,更合适的方法来执行此操作。
AWS密钥管理服务听起来好像是为了解决此问题,但根据我可以确定的实际上只是用于存储您的AWS Master键。
我已经看到,人们已经使用了主键来加密已上传到AWS Web服务器的文本文件,然后在需要时使用主键解密该文件。该文件可以包含第三方键列表,因此是解决该问题的一种方法。
我要理解但不这样做的是正确的方法(即将第三方键存储在文本/json/xml文件中并使用AWS主密钥加密并存储在服务器上并在必要时进行查询)或AWS是否有办法将我的第三方键输入某个地方/Web应用程序可以直接查询的某些东西?
您有两个不错的选择,用于为亚马逊EC2实例存储凭据。两者都是亚马逊推荐的方法。请勿在EC2实例,代码或S3上存储凭据。
-
为您的EC2实例创建IAM角色,分配所需的权限,将此角色分配给您的实例。亚马逊SDK将自动提取这些凭据。这是最简单的方法。
-
在IAM中创建您的凭据,然后使用EC2参数商店安全存储您的凭据。
iam角色
使用参数存储存储秘密的正确方法