![](/img/trans.png)
[英]AWS SSM RunCommand - Issue with RunRemoteScript Document to run PowerShell script with parameters
[英]AWS SSM document with private information
我被要求提出一个解决方案,以确保我们在AWS上的所有Windows服务器都具有使用SSM为管理团队创建的本地帐户。 我们需要能够对此进行审核,并确保可以轻松更改密码。 我知道,我知道,我应该喜欢域名的功能,但是出于任何原因,这都是不允许的!
使用powershell脚本创建文档很好,但是将密码放入脚本是一个问题,这需要使用纯文本格式。
我以为可以使用AWS KMS加密密码并让SSM即时解密它们。 事实是,我无法使解密仅适用于SSM,而不适用于登录服务器的任何人。 如果一个人可以解密密码,那么它也可以是纯文本格式:/
我希望这是有道理的!
任何想法或建议将不胜感激。
谢谢
对于您来说可能为时已晚,但是我唯一想到的就是将密码作为SSM参数并为ssm创建一个父lambda。 您可以指定lambda仅通过策略访问KMS密钥。
这增加了一个额外的步骤(必须调用lambda来进行调用和SSM),但是它将允许您在更高程度上限制访问权限。
我相当确定SSM参数足够安全,可以传输密码,但是我建议您在触发之前仔细检查。
理想的解决方案是在实例上检测您是否源自SSM,但我认为这是不可能的。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.