Как получить доступ к ключу доступа AWS за пределами кода, даже за пределами сервера

У меня есть вопрос, у меня есть приложение, и одна из полезностей этого приложения — загрузка и загрузка документов в s3.
Мой вопрос, как лучше хранить ключи доступа s3.
Я храню в файле config.ini и вызываю его из своего php-скрипта.
Я также знаю, что могу поставить его на ~ / .aws / учетные данные в Linux.

Но я хочу поставить его вне сервера и получить к нему доступ, чтобы даже если мой сервер был взломан (да, мой сервер один раз был взломан некоторыми китайцами), я не должен бояться.

Предлагаемая идея:

1: Я думаю сделать сервер ключей (я хочу сделать его централизованным, чтобы я мог использовать его в своем другом проекте) и получать ключи по http-запросу с шифрованием, блокировкой ip, механизмом авторизации.

2: Сохраните это в некоторой базе данных с надлежащим шифрованием.

Пожалуйста, предложите это со своими идеями.

-4

Решение

Лучшее решение для вашего случая использования — это использование AWS IAM Roles. Создайте роль IAM для доступа к корзине S3 и присоедините эту роль к экземпляру EC2 при создании экземпляра. Это исключит использование ключей доступа S3, поэтому вам не придется беспокоиться о том, что ключи могут быть скомпрометированы.

Прочитайте это для более подробной информации

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

1

Другие решения

Других решений пока нет …