Api 文件中的 AWS Api 凭证 - 足够安全吗?

AWS Api Credentials in application.conf file - Safe enough?

我想知道将 AWS Api 凭据(或一般凭据)放入 .conf 文件是否足够安全?我不这么认为,想问一下是否有任何易于使用的方法来加密和解密凭据。我正在使用 JAVA 和 Eclipse IDE。有没有人对这部分的新手有提示?

什么是“.conf”文件?它是应用程序的配置文件吗?如果是这样,那不行,不够安全。

Amazon 有一个 document 描述访问密钥的最佳实践。他们对应用程序的建议是将角色附加到 运行 应用程序 (EC2/ECS/Lambda)。

使用角色的最大好处是它提供的凭据是临时的:它们的最长生命周期为 12 小时,默认生命周期为 1 小时。因此,如果有人设法从您的服务器中提取它们,它们将无法造成长期损害(不同于与用户关联的 "permanent" 访问密钥)。

虽然这有帮助,但您仍然需要限制这些凭据的范围(即不要在其权限策略中使用通配符)。并且您应该监控您的部署是否使用了无效凭证(即,从您的 VPC 外部某处发出的 API 调用)。

如果您谈论的是用于开发的凭据,AWS already has a place to store those。但是,如果您使用 AWS Single-SignOn,则无需在任何地方存储凭据,它为您提供有限生命周期的凭据供 CLI/SDK 使用。

如果您谈论的是移动应用程序的凭证,请查看 Cognito 和 AWS Amplify。