Archiviazione di chiavi private in modo sicuro in Amazon S3 - AWS Elastic Beanstalk

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Archiviazione di chiavi private in modo sicuro in Amazon S3

La chiave privata che usi per firmare i certificati pubblici è privata e non deve esserne eseguito il commit nel codice sorgente. Puoi evitare di archiviare le chiavi private nei file di configurazione caricandoli in Amazon S3 e configurando Elastic Beanstalk in modo che scarichi il file da Amazon S3 durante la distribuzione dell'applicazione.

L'esempio seguente mostra le sezioni Resources e files di un file di configurazione che scarica un file di chiavi private da un bucket Amazon S3.

Esempio .ebextensions/privatekey.config
Resources:
  AWSEBAutoScalingGroup:
    Metadata:
      AWS::CloudFormation::Authentication:
        S3Auth:
          type: "s3"
          buckets: ["elasticbeanstalk-us-west-2-123456789012"]
          roleName: 
            "Fn::GetOptionSetting": 
              Namespace: "aws:autoscaling:launchconfiguration"
              OptionName: "IamInstanceProfile"
              DefaultValue: "aws-elasticbeanstalk-ec2-role"
files:
  # Private key
  "/etc/pki/tls/certs/server.key":
    mode: "000400"
    owner: root
    group: root
    authentication: "S3Auth"
    source: https://elasticbeanstalk-us-west-2-123456789012.s3.us-west-2.amazonaws.com/server.key

Sostituisci il nome del bucket e l'URL dell'esempio con quelli personalizzati. La prima voce di questo file aggiunge un metodo di autenticazione denominato S3Auth ai metadati del gruppo Auto Scaling dell'ambiente. Se hai configurato un profilo di istanza personalizzato per il tuo ambiente, verrà utilizzato. In caso contrario, viene applicato il valore predefinito aws-elasticbeanstalk-ec2-role. Il profilo di istanza predefinito è dotato dell'autorizzazione di leggere dal bucket di storage di Elastic Beanstalk. Se utilizzi un altro bucket, aggiungi le autorizzazioni al profilo dell'istanza.

La seconda voce usa il metodo di autenticazione S3Auth per scaricare la chiave privata dall'URL specificato e salvarla /etc/pki/tls/certs/server.key. Il server proxy è in grado di leggere la chiave privata da questa posizione per terminare le connessioni HTTPS presso l'istanza.

Il profilo dell'istanza assegnato alle istanze EC2 dell'ambiente deve disporre dell'autorizzazione per leggere l'oggetto chiave dal bucket specificato. Verifica che il profilo dell'istanza abbia l'autorizzazione per leggere l'oggetto in IAM e che le autorizzazioni del bucket e dell'oggetto non impediscano l'accesso al profilo dell'istanza.

Per visualizzare le autorizzazioni di un bucket

  1. Apri la console di gestione Amazon S3.

  2. Scegli un bucket.

  3. Scegli Properties (Proprietà), quindi Permissions (Autorizzazioni).

  4. Verifica che il tuo account sia un assegnatario per il bucket con autorizzazione di lettura.

  5. Se una policy del bucket è collegata, seleziona Bucket policy (Policy bucket) per visualizzare le autorizzazioni assegnate al bucket.