Wie werden API-Anmeldeinformationen so gespeichert, dass sie nicht gehackt werden können? Zum Beispiel AWS-Schlüssel oder Google Cloud-Schlüssel?Speichern von API-Anmeldeinformationen
Im Produktionsbetrieb (sagen Heroku oder EC2-Instanz), wenn Sie ein Github-Repository sagen, kann dies leicht gehackt werden. Irgendeine Idee?
Ganz einfach, Sie nicht.
Die beste Vorgehensweise in AWS besteht darin, IAM-Instanz- (oder Aufgaben-) Rollen zu verwenden, die Ihren EC2- (oder ECS-) Instanzen zugewiesen sind. Aus der Dokumentation:
Wir haben IAM-Rollen entwickelt, damit Ihre Anwendungen sicher API-Anfragen von Ihren Instanzen erstellen können, ohne dass Sie die von den Anwendungen verwendeten Sicherheitsberechtigungsnachweise verwalten müssen. Anstatt Ihre AWS-Anmeldeinformationen zu erstellen und zu verteilen, können Sie die Berechtigung zum Erstellen von API-Anforderungen mithilfe von IAM-Rollen delegieren.
Sie können mehr darüber lesen, wie IAM Rollen in den IAM Rollen arbeiten für Amazon EC2 Abschnitt der AWS Dokumentation: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html
Sie jemals nicht Credentials begehen, so zu Code. In Ihrem Heroku Beispiel würden Sie set them as config variables und dann würde Ihr Code die Werte aus der Umgebung bei Bedarf ziehen.
In AWS können Sie do something similar, oder Sie können den AWS KMS-Service oder AWS SSM Parameter Store verwenden. Wenn Sie in AWS auf andere AWS-Services zugreifen, verwenden Sie die IAM-Rollen, die Ihren Ressourcen zugewiesen sind, anstatt Anmeldeinformationen direkt zu verwenden.