У меня есть вопрос, у меня есть приложение, и одна из полезностей этого приложения — загрузка и загрузка документов в s3.
Мой вопрос, как лучше хранить ключи доступа s3.
Я храню в файле config.ini и вызываю его из своего php-скрипта.
Я также знаю, что могу поставить его на ~ / .aws / учетные данные в Linux.
Но я хочу поставить его вне сервера и получить к нему доступ, чтобы даже если мой сервер был взломан (да, мой сервер один раз был взломан некоторыми китайцами), я не должен бояться.
Предлагаемая идея:
1: Я думаю сделать сервер ключей (я хочу сделать его централизованным, чтобы я мог использовать его в своем другом проекте) и получать ключи по http-запросу с шифрованием, блокировкой ip, механизмом авторизации.
2: Сохраните это в некоторой базе данных с надлежащим шифрованием.
Пожалуйста, предложите это со своими идеями.
Лучшее решение для вашего случая использования — это использование AWS IAM Roles. Создайте роль IAM для доступа к корзине S3 и присоедините эту роль к экземпляру EC2 при создании экземпляра. Это исключит использование ключей доступа S3, поэтому вам не придется беспокоиться о том, что ключи могут быть скомпрометированы.
Прочитайте это для более подробной информации
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html
Других решений пока нет …