Wpis z mikrobloga

Skopiuj link

23.08.2021, 05:34:48

Cześć. Jeśli zastanawiasz się, czy w chmurze AWS można się bezpiecznie dostać do prywatnego bucketu S3 z poziomu maszyny wirtualnej EC2 bez podawania hasła, to mam dla ciebie dobrą wiadomość. MOŻNA.

Nie musisz przechowywać hasła w żadnym magazynie kluczy, KMS,HashiCorp Vault czy w zmiennych, albo co gorsza w kodzie.

Jeśli jesteś zainteresowany zapraszam do przeczytania przy kawie https://lepczynski.it/aws/dostep-do-storage-s3-z-maszyny-wirtualnej-ec2-bez-hasla-w-5-krokach/
#cloud #aws #lepczynski_it #tutorial #porady #amazon

mmichal

23.08.2021, 05:44:41

@lepczynski_it: a jak się chce zaszyfrować s3 to tutorial nie działa :P

aloucie

23.08.2021, 05:51:29 via Wykop Mobilny (Android)

@lepczynski_it: A to nie są podstawy podstaw?

lepczynski_it

23.08.2021, 05:53:42

@mmichal: nawet jeśli dodasz do roli odpowiednie uprawnienia KMS ?

mmichal

23.08.2021, 05:58:03

@lepczynski_it: no fajnie jakbyś to dopisał, że dla zaszyfrowanych customowym KMS trzeba dodać uprawnia, przy standardowym szyfrowaniu działa bez problemu

lepczynski_it

23.08.2021, 06:09:40

@mmichal: w zasadzie to masz rację, dopiszę w wolnej chwili. Dzięki

mmichal

mmichal

23.08.2021, 06:35:02

@lepczynski_it: jak domyślnie coś szyfrujesz tym standardowym KMS to wszystko działa w obrębie konta, słabiej jak coś poza konto chcesz udostępnić bo domyślny KMS nie pozwala zmienić polisy dla certa a trzeba tam dopisać rolę z innego konta, wtedy trzeba customowy cert KMS zrobić i dla niego jawnie trzeba uprawnienia definiować wewnątrz konta swojego nawet

wewnątrz tego samego konta wystarczy IAM:

{
 "Action": [
 "kms:Decrypt",
 "kms:Encrypt",
 "kms:GenerateDataKey"
 ],
 "Effect": "Allow",
 "Resource":

lepczynski_it

lepczynski_it

23.08.2021, 07:41:25

@mmichal: nom na jednym koncie to fajnie, ale poza konto czy region to już jak piszesz schody trochę.
KMS i S3 musi być w tym samym regionie :(
Jak kiedyś udostępniałem dla roli z innego konta to całkiem fajnie tu to opisali https://aws.amazon.com/blogs/security/share-custom-encryption-keys-more-securely-between-accounts-by-using-aws-key-management-service/

mmichal

23.08.2021, 12:24:05

S3 musi być w tym samym regionie :(

@lepczynski_it: S3 jest usługą globalną

lepczynski_it

23.08.2021, 15:22:14

@mmichal: taaak ale buckety tworzysz w regionach i jeśli dobrze pamiętam, to możesz się odwoływać tylko do KMS z konkretnego regionu. S3 i KMS musi być w tym samym regionie, a EC2 może być w innym regionie, ale wtedy mogą być większe opóźnienia.

No przynajmniej kiedyś tak było jeśli dobrze pamiętam, aczkolwiek mogę się mylić 100% pewności nie mam.