问题描述
我们将 AWS fargate 与一个 Python 项目结合使用。 AWS 默认设置在连接时使用 PEM 文件。我知道我可以关闭 TLS。
我的同事说他不想将凭据与代码存储在同一个存储库中。该文件的推荐存储位置是什么?
当服务器在 VPC 内时为什么需要它?
如果我在 AWS govcloud 上创建集群,我是否需要不同的 PEM 文件,或者捆绑包是否包含我需要的所有内容?
如果我使用的是 AWS linux 2 实例,我需要它吗?
解决方法
请找出答案:
- 您可以将 PEM 文件存储在任何位置(同一个存储库,或可以从中提取代码的任何其他存储库),但在建立加密连接和执行服务器验证时代码应该可以访问它。
- VPC 中服务器之间的通信是私有的,但使用服务器证书可通过验证与 Amazon DocumentDB 集群的连接来提供额外的安全层。
- GovCloud 区域中的 Amazon DocumentDB 集群应具有用于 TLS 连接的类似单独捆绑包。
- 即使您使用的是 Amazon Linux 2 实例,PEM 证书文件也需要存储在实例上,以允许代码在打开连接时引用它并进行验证。
从安全角度来看,使用 TLS 并使用证书对服务器进行身份验证始终是最佳做法。