问题描述
我如何在 aws kms 中加密秘密管理器值,以便没有人可以看到纯文本值。它基本上应该使用 kms 在 lambda 中解密。这甚至可以在 AWS 中实现。
我可以看到我们可以使用 kms 来加密和解密 kms 值,但这在静止时发生。
解决方法
如果您想使用 lambda 来动态访问或存储云格式中的数据,您可能需要使用 lambda 支持的自定义资源。在此处阅读更多相关信息:https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-custom-resources-lambda.html。
基本上,您可以将数据传递给 lambda 函数(该函数可以根据已创建资源的输出动态变化)和/或获取它通过其输出创建的动态数据。
然而,秘密管理器旨在让授权用户/实体(例如 EC2 实例)能够看到明文密码。考虑改为设置允许使用哪些用户/实体。有关对机密管理器的访问控制的更多详细信息,请参见此处:https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_determining-access.html