在docker中将机密作为环境变量注入安全吗?为什么ECS和EKS支持它?

html5 问答

我很难协调一些在线建议,即将秘密(通常是密码)作为环境变量注入 docker 容器与 AWS ECS 甚至 EKS 的本机功能“不安全”,其中存储在 AWS Secrets Manager 中的秘密作为环境提供变量。我想使用这些平台的原生特性,但似乎这不是一个好主意。

我真的很喜欢/run/secrets“原始”docker的原生方法 - 但该功能无法扩展到 SecretsManager+ECS。我认为管理秘密和向我的应用程序公开的唯一“安全”方式是编写直接查询 AWS Secrets Manager 的专用应用程序代码。这个结论正确吗?或者我可以信任这个平台吗?

参考:

  • 使用环境变量的危险在于,很容易通过日志记录意外泄露机密,因为软件记录整个环境是很常见的。有权访问日志的人员通常比需要生产键值的人员大得多。

  • 为什么不应该将 ENV 变量用于秘密数据

和反驳:

  • 作为安全最佳实践,将敏感信息作为环境变量传递给容器。

  • ...生产机密应通过受控方式(如环境变量)访问

以上是在docker中将机密作为环境变量注入安全吗?为什么ECS和EKS支持它?的全部内容。
THE END
分享
二维码
< <上一篇
下一篇>>