개인 정보가 포함 된 AWS SSM 문서

Question

AWS의 모든 Windows 서버에 SSM을 사용하는 관리 팀용으로 생성 된 로컬 계정이 있는지 확인하기위한 해결책을 찾도록 요청 받았습니다. 이를 감사하고 암호를 쉽게 변경할 수 있어야합니다. 나도 알아, 나도 알아, 나는 도메인이하는 것을 좋아해야한다. 그러나 어떤 이유로 든 허용되지 않는다.

powershell 스크립트로 문서를 만드는 것이 좋지만 암호를 스크립트에 넣는 것이 문제이며 일반 텍스트 여야합니다.

AWS KMS를 사용하여 비밀번호를 암호화하고 SSM에서 암호를 해독 할 수 있다고 생각했습니다. 문제는 SSM에 대해서만 작동하도록 해독을 얻을 수는 없으며 서버에 로그온하는 사람에게는 해독을받을 수 없다는 것입니다. 만약 누군가 암호를 알아 내면 평범한 텍스트로 보일 수도 있습니다 :/

나는 그것이 맞는 것을 희망합니다!

모든 의견이나 조언을 감사드립니다.

감사

Answer 1

당신을 위해 너무 늦게 될 수도 있지만 내가 생각할 수있는 유일한 방법은 SSM 매개 변수로 암호를 가지고와 SSM에 대한 부모 람다를 만드는 것입니다. 정책을 통해서만 KMS 키에 액세스 할 수 있도록 람다를 지정할 수 있습니다.

추가 단계 (호출 및 SSM에 람다를 호출해야 함)하지만 더 높은 단계로 액세스를 제한 할 수 있습니다.

나는 SSM 매개 변수가 비밀 번호를 전송하기에 충분히 안전하다는 것을 확신하지만, 방아쇠를 당기기 전에 이중 확인을 권합니다.

이상적인 해결책은 SSM에서 발생했는지 여부를 인스턴스에서 감지하는 것이지만 가능하지 않다고 생각합니다.