我刚开始同时使用AWS服务和Django,但在查找有关存储AWS creds以供Django访问的最佳实践的信息时遇到了麻烦?
我有一个基本的django应用程序连接到一个S3存储桶,所以我需要能够使用boto调用到存储桶的连接。但是我不确定如何存储aws凭证,我需要通过管道进入boto函数来使用任何服务。
我在一些地方读到过人们把他们的aws证书放进 www.example.com 。我还研究了AWS Secrets Manager,但在我看来,它更适合与其他服务相关的密钥。
谁能解释一下我的其他选项是什么,或者为什么把它们存储在www.example中 www.example.com 可能是一个安全的选择?
我真的不知道该怎么办。
1条答案
按热度按时间3xiyfsfu1#
关于秘密,总是有两个问题:
1.使用哪个秘密商店,以及
1.如何保护访问存储的凭据
AWS有参数存储,适合存储秘密。Secrets Manager也很适合。关键的区别是Secrets Manager不是免费的,并且提供密钥轮换功能。所以问题一就来了。
对于问题2,与任何其他AWS服务一样,参数存储在IAM之后。如果您的Django应用程序在AWS之外运行,我认为除了让它存储凭据之外没有其他选择。但是,如果它在AWS内部运行,通常有一种方法可以将IAM角色与之关联。然后,只要IAM角色具有必要的权限,它就应该能够访问您的秘密存储。