为AWS Lambda存储私有SSH密钥的标准实践是什么？

Question

我的lambda函数负责ssh连接到我们的一些EC2实例。目前，我只将我们的密钥文件存储在lambda的部署包中，但这显然不是生产的理想解决方案。我已经研究了几种方法，比如将密钥存储在私有S3桶中，并将其存储为加密的环境变量。然而，我并不喜欢一直从S3桶中提取密钥，加密的环境变量似乎也不会在未来的lambda函数中持久存在。其他一些行业标准的存储私钥给lambda使用的方法是什么？

Answer 1

您可以将加密的秘密存储在机密经理或参数存储中。对于某些类型的秘密，您可以让它们在“秘密管理器”中自动旋转。限制IAM角色对秘密的访问，您可以减少潜在的误用。

此外，要注意可用于避免需要SSH到EC2实例的选项：

• SSM运行命令
• EC2实例连接
• SSM会话管理器