從安全角度來看,了解aws configure幕後的實際操作非常重要。讀完後文件,這個我還不太清楚。
我們選擇將憑證檔案移到伺服器上更安全的位置,也就是不在預設%USERPROFILE%\.aws\credentials位置。我AWS_SHARED_CREDENTIALS_FILE為此安全位置設置了環境變數並運行aws configure。一切似乎都正常,我可以透過提供的存取金鑰使用 AWS cli。
但不幸的是,我無法明確是否aws configure以某種方式損害了憑證的安全性。例如,只需將檔案移至非安全位置...
答案1
「aws configure」簡單地在您的工作站或伺服器上的檔案中建立憑證檔案%USERPROFILE%\.aws\credentials。您輸入憑證,它會將它們放入本機伺服器上的檔案中。據我所知,它不會對憑證執行任何其他操作。
您可以直接編輯它以執行完全相同的操作。它是一個常規文件,包含 AWS 存取金鑰和秘密金鑰。
就安全性而言,將憑證儲存在未加密的工作站/伺服器上的檔案中並不理想。如果您的電腦感染病毒或勒索軟體,它們可能會遺失或被盜。如果發生這種情況,您應該在 AWS 控制台中刪除這些金鑰,並在您的電腦再次足夠安全後頒發新金鑰。
恕我直言,如果您需要使用 AWS CLI,只要您的電腦具有良好的安全實踐,那麼冒險是值得的。防火牆、病毒/惡意軟體掃描程式等基礎知識。
答案2
aws configure當使用憑證和設定檔的非預設位置時實際上不需要。如果這些檔案的檔案位置分別在環境變數中正確設置,AWS_SHARED_CREDENTIALS_FILE則AWS_CONFIG_FILEaws cli 知道在哪裡尋找憑證和配置。因此,我不需要擔心與 相關的任何安全問題aws configure。