AWS SSM 参数存储可靠性
AWS SSM parameter store reliability
我正在考虑使用 AWS SSM Parameter Store 来存储秘密,例如部署在 EC2、Elastic Beanstalk、Fargate docker 容器等上的应用程序的数据库连接字符串)。
链接文档指出该服务是 Highly scalable, available, and durable,但我无法找到有关其确切含义的更多详细信息。例如,它是否在所有区域复制?
是否最好:
a) 在应用程序启动时从参数存储中读取秘密(即依赖它的高可用性和可扩展性,即使另一个区域出现故障)?
或
b) 在部署应用程序时在本地读取和存储秘密?可以说安全性较低,但这意味着 Parameter Store 服务的任何不可用性只会影响新版本的部署。
如果您想使用参数存储,请选择您的选项 a。如果获取参数调用失败,则应用程序失败。 (发生这种情况,我已经看到 Parameter Store API 请求发生了速率限制)参见 here。
或
最好的选择是AWS secrets manager。 Secrets Manager 是参数存储的超集。它支持 RDS 密码轮换等等。也是它的付费。
刚刚检查了 SSM 的无节流吞吐量。它不在规范中,但它是 ca。 50 请求/秒。
我正在考虑使用 AWS SSM Parameter Store 来存储秘密,例如部署在 EC2、Elastic Beanstalk、Fargate docker 容器等上的应用程序的数据库连接字符串)。
链接文档指出该服务是 Highly scalable, available, and durable,但我无法找到有关其确切含义的更多详细信息。例如,它是否在所有区域复制?
是否最好:
a) 在应用程序启动时从参数存储中读取秘密(即依赖它的高可用性和可扩展性,即使另一个区域出现故障)?
或
b) 在部署应用程序时在本地读取和存储秘密?可以说安全性较低,但这意味着 Parameter Store 服务的任何不可用性只会影响新版本的部署。
如果您想使用参数存储,请选择您的选项 a。如果获取参数调用失败,则应用程序失败。 (发生这种情况,我已经看到 Parameter Store API 请求发生了速率限制)参见 here。
或
最好的选择是AWS secrets manager。 Secrets Manager 是参数存储的超集。它支持 RDS 密码轮换等等。也是它的付费。
刚刚检查了 SSM 的无节流吞吐量。它不在规范中,但它是 ca。 50 请求/秒。