#1 楼
好吧,从安全的角度来看,为人们提供更少的信息也很不错。但是,只要您在AWS中拥有明智的安全策略,就没有理由必须考虑使用arn机密。例如,如果您知道我用来从EC2实例访问s3的角色的知识,除非获得我的许可,否则您将无法对该信息进行任何操作。您的角色之一。在帐户之间,这是非常明确且双向的操作;因此,这不会偶然发生/在您不知情的情况下发生。
向IAM用户丢失凭据可能会让人们承担角色,并且会很糟糕,但是他们知道仅凭arn并不能为他们做任何事情。 />
AWS arn值是否应视为机密?
我有一个配置文件,其中包含存储在Github存储库中的AWS资源arn。这包括一些有关AWS IAM角色资源的信息。是否应该将它们视为秘密值,而不存储在代码存储库中?
但是,只要您在AWS中拥有明智的安全策略,就没有理由必须考虑使用arn机密。例如,如果您知道我用来从EC2实例访问s3的角色的知识,除非获得我的许可,否则您将无法对该信息进行任何操作。您的角色之一。在帐户之间,这是非常明确且双向的操作;因此,这不会偶然发生/在您不知情的情况下发生。
向IAM用户丢失凭据可能会让人们承担角色,并且会很糟糕,但是他们知道仅凭arn并不能为他们做任何事情。 />
但是,只要您在AWS中拥有明智的安全策略,就没有理由必须考虑使用arn机密。例如,如果您知道我用来从EC2实例访问s3的角色的知识,除非获得我的许可,否则您将无法对该信息进行任何操作。您的角色之一。在帐户之间,这是非常明确且双向的操作;因此,这不会偶然发生/在您不知情的情况下发生。
向IAM用户丢失凭据可能会让人们承担角色,并且会很糟糕,但是他们知道仅凭arn并不能为他们做任何事情。 />
评论
我有点同意给人们更少的信息永远不会坏。虽然我同意较少的信息不会导致某些事物的安全性降低,但我也坚信“默默无闻的安全性”不是可行的策略。阻碍开发过程以掩盖数据而不是挖掘安全问题的根源(在这种情况下,IAM角色不安全)不是一个好习惯。您始终必须假设,如果某人真的想要您的信息,那么从长远来看,对其进行掩盖是行不通的。我确实同意,但锁定并给予特定访问权限更为重要。
–普雷斯顿·马丁(Preston Martin)
20-3-23在18:33
全心全意地同意:)。
–John Humphreys-w00te
20 Mar 23 '20 at 21:40