Как управлять секретными ключами пользователей IAM в Django

Question

У меня есть проект Django (развернутый на AWS Elasti c Beanstalk), который использует несколько служб AWS (SES, S3, и т.д. c.) Через пользователя IAM. Мне интересно, как лучше всего сохранить учетные данные этого пользователя IAM в проекте Django.

Я придумал несколько подходов и у меня есть несколько вопросов для каждого:

1. Создайте файл .env с учетными данными. А это можно взломать? Это самый безопасный способ?
2. Используйте Amazon Secrets Manager, чтобы создать секрет с учетными данными. Я пробовал это, но потом понял, что вам нужно предоставить учетные данные для его использования (?).

Есть ли способ лучше? Что бы вы порекомендовали?

Answer 1

Не используйте учетные данные пользователя IAM в вычислительных службах AWS (EC2, Elasti c Beanstalk, Lambda и др. c.)

Вместо этого используйте роль IAM. См. Управление Elasti c Профили экземпляров Beanstalk .

Per В чем разница между ролью IAM и пользователем IAM?

Пользователь IAM имеет постоянные долгосрочные учетные данные и используется для прямого взаимодействия со службами AWS. Роли IAM должны быть приняты на себя уполномоченными лицами, такими как приложения ...