[英]AWS SSM document with private information
我被要求提出一个解决方案,以确保我们在AWS上的所有Windows服务器都具有使用SSM为管理团队创建的本地帐户。 我们需要能够对此进行审核,并确保可以轻松更改密码。 我知道,我知道,我应该喜欢域名的功能,但是出于任何原因,这都是不允许的!
使用powershell脚本创建文档很好,但是将密码放入脚本是一个问题,这需要使用纯文本格式。
我以为可以使用AWS KMS加密密码并让SSM即时解密它们。 事实是,我无法使解密仅适用于SSM,而不适用于登录服务器的任何人。 如果一个人可以解密密码,那么它也可以是纯文本格式:/
我希望这是有道理的!
任何想法或建议将不胜感激。
谢谢
对于您来说可能为时已晚,但是我唯一想到的就是将密码作为SSM参数并为ssm创建一个父lambda。 您可以指定lambda仅通过策略访问KMS密钥。
这增加了一个额外的步骤(必须调用lambda来进行调用和SSM),但是它将允许您在更高程度上限制访问权限。
我相当确定SSM参数足够安全,可以传输密码,但是我建议您在触发之前仔细检查。
理想的解决方案是在实例上检测您是否源自SSM,但我认为这是不可能的。
AWS SSM RunCommand - RunRemoteScript 文档出现问题,以使用参数运行 PowerShell 脚本
[英]AWS SSM RunCommand - Issue with RunRemoteScript Document to run PowerShell script with parameters
如何使用 Terraform 将 powershell 命令传递给 AWS SSM 文档/运行命令?
[英]How to pass a powershell command to AWS SSM Document/Run Command using Terraform?
在 powershell 的 SSM 文档中引用 boolean 参数的正确方法是什么?
[英]What is the correct way to reference a boolean parameter in SSM document for powershell?
SSM - AWS-RunPowerShellScript - $false 布尔值被错误地识别为字符串
[英]SSM - AWS-RunPowerShellScript - $false boolean erroneously being recognized as String
AWS-InstallWindowsUpdates SSM 运行命令从哪里提取?
[英]Where does the AWS-InstallWindowsUpdates SSM run command pull from?
在 aws cli ssm 中的 powershell 命令中传递单引号字符串
[英]Pass single quoted string within powershell command in aws cli ssm
为什么AWS-ConfigureWindowsUpdate SSM运行命令失败?
[英]Why is AWS-ConfigureWindowsUpdate SSM Run Command Failing?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
