AWS শংসাপত্রগুলি কোনও ব্যক্তিগত মেশিনে সুরক্ষিতভাবে সংরক্ষণ করা

10

আমি কীভাবে ব্যক্তিগত মেশিনগুলিতে নিরাপদে AWS শংসাপত্র সংরক্ষণ করতে পারি?

বিস্তারিত:

প্রশাসনিক কাজগুলি করার জন্য আমাদের দলের প্রত্যেককে AWS সুরক্ষা শংসাপত্রের প্রয়োজন (শংসাপত্রগুলি ভূমিকার দ্বারা পৃথক করা হয়)। এই শংসাপত্রগুলি সাধারণত ডিস্কের কিছু কনফিগার ফাইলগুলিতে প্লেটেক্সটে সংরক্ষণ করা হয়। আমি মনে করি এটি খুব সুরক্ষিত, বিশেষত বিবেচনা করে যে দলীয় সদস্যদের উপর শংসাপত্রগুলি বিতরণ করা হয়, ব্যাকআপ শেষ হয় ইত্যাদি considering

আমি এই শংসাপত্রগুলি এনক্রিপ্ট করা আকারে সংরক্ষণ করতে পছন্দ করব (উদাহরণস্বরূপ ssh কীগুলির অনুরূপ)। এটি করার কিছু স্বয়ংক্রিয় পদ্ধতি আছে? বা আমার কি এমন কিছু বাশ স্ক্রিপ্ট হ্যাক করা দরকার যা উদাহরণস্বরূপ ওপেনসেল ডেটা এনক্রিপ্ট করার জন্য ব্যবহার করে?

ইসি 2 উদাহরণে শংসাপত্রগুলি কীভাবে সুরক্ষিত করা যায় সে সম্পর্কে ওয়েবে প্রচুর তথ্য রয়েছে। এমনকি এই অ্যামাজন আইএএম র ভূমিকা কার্যকারিতা রয়েছে , তবে এটি কেবল ইসি 2 তেও প্রযোজ্য।

linux  security  amazon-web-services  credentials 
arnuschky
সূত্র
1
এটি একটি দুর্দান্ত প্রশ্ন এবং আমি উত্তরগুলির জন্য খুব আগ্রহী।
সেজেজোজ

উত্তর:

4

https://github.com/realestate-com-au/credulous অনুসন্ধানের জন্য উপযুক্ত হতে পারে। প্রকল্পের বিবরণ থেকে:

বিশ্বাসযোগ্য হ'ল একটি কমান্ড লাইন সরঞ্জাম যা নিরাপদে AWS (আইএএম) শংসাপত্রগুলি পরিচালনা করে । ব্যবহারকারীর পাবলিক এসএসএইচ কী ব্যবহার করে শংসাপত্রগুলি এনক্রিপ্ট করা হ'ল যাতে কেবলমাত্র যারাই প্রাইভেট এসএসএইচ কী যুক্ত থাকে সেগুলি সেগুলি দেখতে এবং ব্যবহার করতে সক্ষম হয়। তদুপরি এই সরঞ্জামটি ব্যবহারকারীর বর্তমান কর্মপ্রবাহকে ভঙ্গ না করে সহজেই তাদের বর্তমান শংসাপত্রগুলি ঘোরানো সক্ষম করে ।

Http://techblog.realestate.com.au/protecting-your-aws-keys-with-credulous/ এ একটি সূচনা ব্লগ নিবন্ধ রয়েছে ।

mvermaes
সূত্র
আশ্চর্যজনক, আমি ঠিক এটিই খুঁজছিলাম (এবং যা আমি নিজেরাই সন্ধান করতে পারি নি ...)
আরনুস্কি
আরও দেখুন github.com/99designs/aws-vault
ইয়ভেস এম
4

দুর্দান্ত প্রশ্ন এবং উত্তর দেওয়া ব্যক্তিটির উপর নির্ভর করে আপনার সম্ভবত বেশ কয়েকটি পথ যেতে হবে। আমরা কী ব্যবহার করি তার একটি উদাহরণ দেব:

  1. ব্যবহারকারীর উপর ভিত্তি করে আইএএম ভূমিকাগুলি তৈরি করুন (বিকাশকারী, অবকাঠামো, সুরক্ষা, নিরীক্ষা, ইত্যাদি) - ব্যবহারকারীর অ্যাক্সেসের ভিত্তিতে নির্দিষ্ট ক্রিয়াকলাপগুলিকে অনুমোদিত বা অস্বীকার করার জন্য নীতিকে অনুকূলিত করুন।

উদাহরণ: প্রশাসকের জন্য সমস্ত ec2 ক্রিয়া মঞ্জুর করুন। অথবা কেবল কোনও বিকাশকারী ইত্যাদির জন্য ট্যাগ বা সাবনেটের ভিত্তিতে অ্যাক্সেসের অনুমতি দিন etc.

  1. নির্দিষ্ট আইএএম রোলগুলি ব্যবহার করে ইক্য 2 লিনাক্স উদাহরণ চালু করুন। প্রতিটি নির্দিষ্ট ভূমিকা বা ব্যবহারকারীর জন্য একটি উদাহরণ চালু করুন (প্রয়োজনীয় আকার, বাজেট ইত্যাদি অনুসারে আকারের আকার / প্রকার সামঞ্জস্য করুন)

  2. কেবলমাত্র নির্দিষ্ট সাবনেট বা স্বতন্ত্র আইপিগুলিকেই অনুমতি দেওয়ার জন্য সুরক্ষা গোষ্ঠীটি কনফিগার করুন, যাতে আপনি এসএসএইচে ট্র্যাফিক ইনগ্রেশন লক করতে পারেন।

  3. এসএসএইচের জন্য একটি কাস্টম ব্যবহারকারী / পাসওয়ার্ড সেট করুন বা ডোমেনে যোগ দিন।

  4. প্রতিটি ব্যবহারকারী লগইন বা এসএসএইচ তাদের ভূমিকা বা ব্যবহারকারী অ্যাক্সেসের জন্য নির্ধারিত লিনাক্স ইনস্ট্যান্সে রাখুন।

  5. এআইপি কী এবং অ্যাক্সেস এখন আইএএম ভূমিকা থেকে উত্তরাধিকার সূত্রে প্রাপ্ত হয়েছে যা ব্যবহারকারী কীগুলি অপ্রাসঙ্গিকভাবে সংরক্ষণ করার প্রয়োজনীয়তা তৈরি করে। সুরক্ষা গোষ্ঠীটি তালাবদ্ধ করার বিষয়টি নিশ্চিত করুন, কেবল লিনাক্স বাক্সে নির্দিষ্ট ব্যবহারকারীদের অ্যাক্সেস দিন। ব্যবহারকারীর এডাব্লুএস এপিআই ব্যবহার করে স্ক্রিপ্টগুলি লিখতে সক্ষম হওয়া উচিত / হিসাবে সাধারণ হিসাবে এপিআই সরঞ্জামের কার্যকারিতা ব্যবহার করা উচিত।

আমরা প্রায় এক বছর ধরে এই পদ্ধতিটি ব্যবহার করে যাচ্ছি - অতিরিক্ত সুরক্ষা টুইটগুলি যেমন লিজ নেওয়া অ্যাক্সেসের সময়, এডাব্লুএস এইচএসএম এ কেনা এবং এটি দুর্দান্ত কাজ করে।

আশা করি এটি আপনাকে বা অন্য কাউকে সাহায্য করবে।

স্কট মুর
সূত্র
ভাল ধারণা, ধন্যবাদ! ভেবে দেখিনি। জড়িত ব্যয়ের কারণে এই মুহুর্তে আমাদের জন্য কোনও বিকল্প নেই, তবে আমি এটি মনে রাখব।
আরনুস্কি
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.