Вот мои выходные определения:
data "template_file" "decrypted_keys" {
count = "${aws_instance.worker.count}"
template = "${rsadecrypt(element(aws_instance.worker.*.password_data, count.index), file(module.ssh_key_pair.private_key_filename))}"
}
output "administrator_password" {
value = "${data.template_file.decrypted_keys.*.rendered}"
}
Я считаю, что могу восстановить пароль, просто запустив
terraform output administrator_password
даже после того, как я удалил файл закрытого ключа.
Мне нужен этот пароль, потому что он необходим, например, для доступа по RDP.
Однако, так как я храню этот файл состояния в частном репозитории github, я думаю, что это потенциальная уязвимость безопасности. Тот, кто имеет доступ к репо, может получить пароль администратора.
Существует ли передовая практика в отношении защиты этих паролей?