AWS Api凭证在application.conf文件中-足够安全吗？

Question

我想知道将AWS Api凭证(或一般的凭证)放在.conf文件中是否足够安全？我不这么认为，我想问一下是否有任何简单易用的方法来加密和解密凭据。我在Eclipse IDE中使用JAVA。有没有人对这一部分的新手有什么建议？

Answer 1

什么是".conf“文件？它是应用程序的配置文件吗？如果是这样，那么不，它不够安全。

亚马逊有一个描述访问密钥最佳实践的document。他们对应用程序的建议是将角色附加到正在运行应用程序的任何位置(EC2 / ECS / Lambda)。

使用角色的最大好处是它提供的凭据是临时的:它们的最长生存期为12小时，默认生存期为1小时。因此，如果有人设法将它们从您的服务器中提取出来，他们将无法造成长期的破坏(不像与用户相关的“永久”访问密钥)。

虽然这很有帮助，但您仍然需要限制这些凭据的范围(即，不要在其权限策略中使用通配符)。您应该监控您的部署中是否有无效的凭据使用(例如，从您的VPC外部发出的API调用)。

如果您谈论的是用于开发的凭据，则可以使用AWS already has a place to store those。但是，如果您使用AWS Single-SignOn，则不需要在任何地方存储凭据，因为它为您提供了有限生命周期的凭据供CLI/SDK使用。

如果您正在谈论移动应用程序的凭据，请查看Cognito和AWS Amplify。