Каков наилучший способ автоматического получения секрета из менеджера секретов AWS во вновь запущенном экземпляре EC2?

Question

У меня есть приложение, которое я развертываю, используя шаблон CloudFormation с политикой автоматического масштабирования.

Я храню учетные данные для приложения в AWS Secrets Manager.

Мне нужно получить учетные данные и скопировать их в конфигурацию приложения во время процесса загрузки экземпляра.

Каков наилучший способ безопасного достижения этого?

Вставить их в AMI не вариант, потому что учетные данные будут меняться гораздо чаще, чем изображение.

Answer 1

Вы можете передать скрипт в поле UserData, который будет выполняться при первой загрузке экземпляра Amazon EC2.

Он может использовать AWS Интерфейс командной строки (CLI) чтобы получить секрет из AWS Менеджера секретов. Затем вы можете написать какой-нибудь классный скрипт оболочки, чтобы вставить его в нужный файл конфигурации.

См .:

• Запуск команд на вашем Linux Экземпляре при запуске - Amazon Elasti c Облако вычислений
• secrettsmanager - AWS Справочник по командам CLI