从安全角度来看,了解aws configure幕后实际发生的事情非常重要。阅读文档,这个我还不是很清楚。
我们选择将凭证文件移动到服务器上更安全的位置,即不在默认%USERPROFILE%\.aws\credentials位置。我为这个安全位置设置了环境变量,AWS_SHARED_CREDENTIALS_FILE然后运行aws configure。一切似乎都正常,我能够使用提供的访问密钥使用 AWS cli。
但不幸的是,我无法确定是否aws configure以某种方式损害了凭证的安全性。例如,只需将文件移动到不安全的位置...
答案1
“aws configure” 简单地在文件中的工作站或服务器上为您创建凭证文件%USERPROFILE%\.aws\credentials。您输入凭证,它会将它们放入本地服务器上的文件中。据我所知,它不会对凭证进行任何其他操作。
您可以直接编辑它来执行完全相同的操作。这是一个常规文件,包含 AWS 访问密钥和密钥。
在安全性方面,将您的凭证存储在未加密的工作站/服务器上的文件中并不是理想的选择。如果您的计算机感染病毒或勒索软件,它们可能会丢失或被盗。如果发生这种情况,您应该在 AWS 控制台中删除这些密钥,并在您的机器再次足够安全后颁发新密钥。
我认为,如果您需要使用 AWS CLI,那么风险是值得的,只要您的机器具有良好的安全实践。基本安全措施包括防火墙、病毒/恶意软件扫描程序等。
答案2
aws configure当使用非默认位置存储凭证和配置文件时,实际上不需要这样做。如果在环境变量AWS_SHARED_CREDENTIALS_FILE和AWS_CONFIG_FILE中分别正确设置了这些文件的文件位置,则 aws cli 知道在哪里查找凭证和配置。因此,我不需要担心与 相关的任何安全问题aws configure。