Cześć. Jeśli zastanawiasz się, czy w chmurze AWS można się bezpiecznie dostać do prywatnego bucketu S3 z poziomu maszyny wirtualnej EC2 bez podawania hasła, to mam dla ciebie dobrą wiadomość. MOŻNA.
Nie musisz przechowywać hasła w żadnym magazynie kluczy, KMS,HashiCorp Vault czy w zmiennych, albo co gorsza w kodzie.
@lepczynski_it: no fajnie jakbyś to dopisał, że dla zaszyfrowanych customowym KMS trzeba dodać uprawnia, przy standardowym szyfrowaniu działa bez problemu
@lepczynski_it: jak domyślnie coś szyfrujesz tym standardowym KMS to wszystko działa w obrębie konta, słabiej jak coś poza konto chcesz udostępnić bo domyślny KMS nie pozwala zmienić polisy dla certa a trzeba tam dopisać rolę z innego konta, wtedy trzeba customowy cert KMS zrobić i dla niego jawnie trzeba uprawnienia definiować wewnątrz konta swojego nawet
@mmichal: taaak ale buckety tworzysz w regionach i jeśli dobrze pamiętam, to możesz się odwoływać tylko do KMS z konkretnego regionu. S3 i KMS musi być w tym samym regionie, a EC2 może być w innym regionie, ale wtedy mogą być większe opóźnienia.
No przynajmniej kiedyś tak było jeśli dobrze pamiętam, aczkolwiek mogę się mylić 100% pewności nie mam.
Nie musisz przechowywać hasła w żadnym magazynie kluczy, KMS,HashiCorp Vault czy w zmiennych, albo co gorsza w kodzie.
Jeśli jesteś zainteresowany zapraszam do przeczytania przy kawie https://lepczynski.it/aws/dostep-do-storage-s3-z-maszyny-wirtualnej-ec2-bez-hasla-w-5-krokach/
#cloud #aws #lepczynski_it #tutorial #porady #amazon
wewnątrz tego samego konta wystarczy IAM:
{
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Effect": "Allow",
"Resource":
KMS i S3 musi być w tym samym regionie :(
Jak kiedyś udostępniałem dla roli z innego konta to całkiem fajnie tu to opisali https://aws.amazon.com/blogs/security/share-custom-encryption-keys-more-securely-between-accounts-by-using-aws-key-management-service/
@lepczynski_it: S3 jest usługą globalną
No przynajmniej kiedyś tak było jeśli dobrze pamiętam, aczkolwiek mogę się mylić 100% pewności nie mam.