AWS BOTO3:处理API密钥
[英]AWS BOTO3 : Handling API keys
问题描述
TL; DR :由于某种原因,是否将身份验证数据传递到名为自变量(且未签入)的csv文件中的boto3脚本,其安全性比纯文本共享凭据文件(文档中的默认答案)安全吗?
我想编写一个旨在从使用IAM密钥的笔记本电脑运行的boto3脚本。 初始化会话的主要公认方法是将API密钥,密钥,区域和会话密钥(如果适用)包含在AWS_SHARED_CREDENTIALS_FILE标识的共享凭证文件中,或者使密钥和密钥本身就是环境变量( AWS_ACCESS_KEY_ID等)。我要做的是从csv或类似文件的字典auth加载这些值,然后使用此字典的键和值初始化我的boto3.Session 。 这很容易做到; 但是,由于从csv加载auth数据的实用工具非常明显,并且由于很少有模块提供此实用程序,因此我认为它存在一些我不知道的安全性问题。
有没有理由将身份验证数据作为参数传递给boto3脚本的共享凭据文件比csv文件更安全? 我知道最好从具有角色分配的EC2实例中运行它,但是我正在寻找一种在本地进行库测试的方法,然后再将它们添加到通过角色安全性运行的库中。
1 个解决方案
解决方案1
2 2018-01-27 17:52:16
CSV文件没有什么特别的或安全的。 它的安全风险与凭证文件相同,因为它们都是文本文件。 如果您担心安全性而喜欢使用文件选项,那么我可以考虑以下一种选择:
- 加密凭据并将其作为二进制数据存储在文件中
- 在您的Boto3脚本中,读取文件,解密数据并将凭据提供给Boto3
- 您可以使用简单的对称密钥来加密凭据
创建 boto3 session 是否会触发对 AWS API 的 http 请求?
[英]Does creating a boto3 session trigger an http request to the AWS API?
两个不同帐户/连接之间来自boto3或boto api的存储桶/密钥的并行副本
[英]parallell copy of buckets/keys from boto3 or boto api between 2 different accounts/connections
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.