使用安全参数自动化EC2设置

Question

我的问题相当隐晦和笼统，但我希望你的意见。我想自动化EC2实例的创建，包括web应用程序的完整安装和配置。为此，我需要在进程中在服务器上设置SSL密钥、访问密钥等。服务器用于生产，不应该访问某些详细信息/参数的人将对非特权用户具有shell访问权限。

• 如果我要在“用户数据”中设置秘密参数，任何人都可以使用$ curl http://169.254.169.254/latest/user-data提取它们。
• 如果我要将所有秘密内容放入安全的S3中，并赋予实例一个访问它的角色，那么非特权用户仍然可以从这个桶中获取cp/get。
• 我使用主厨本地模式/厨师-单独/厨师零作为设置的一部分-但是我的存储库也可以被那些不应该访问这些信息的人访问。

我想到了一个明显错误的想法，即创建一个策略，允许从实例访问秘密桶，然后将策略更改为用户数据脚本的最后一部分。但我相信没有那么疯狂的方法可以做到。

有什么想法吗？我在AWS的文档里什么都找不到.

Answer 1

您可以加密用户数据，在启动时对其进行解密以提供主机，然后删除私钥。关于这一点，我有一个博客帖子，但概括地说：

1. 使用以下内容创建一个公共私钥区：$ openssl req -nodes -x509 -days 10000 -newkey rsa:4096 -keyout private.key -out public.crt -subj '/'
2. 创建一个AMI，包括文件系统中某个位置的私钥
3. 启动实例并使用公钥加密用户数据。
4. 在供应脚本的末尾，从文件系统中移除私钥，这样用户数据就不会再被解密。

当然，从AMI启动的任何未来实例都有私钥，因此您需要确保没有其他用户能够创建实例。