如何使用Elastic Beanstalk在部署时指定敏感环境变量

您应该能够从eb Web控制台将敏感值指定为环境变量：您的EB应用程序 - >您的EB环境 - >配置 - >软件配置 - >环境属性

或者，你可以使用这个：http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/eb3-setenv.html

AWS documentation recommends storing sensitive information in S3因为环境变量可能以各种方式暴露：

使用环境属性向应用程序提供连接信息是将密码保留在代码之外的好方法，但这不是一个完美的解决方案。环境属性在Environment Management Console中是可发现的，任何有权描述环境配置设置的用户都可以查看。根据平台，环境属性也可能出现在实例日志中。

以下示例来自文档，您应参考该文档以获取完整详细信息。简而言之，您需要：

1. 使用最小权限possibly encrypted将文件上传到S3。
2. 授予对Elastic Beanstalk自动缩放组的实例配置文件角色的读访问权限。政策如下： { "Version": "2012-10-17", "Statement": [ { "Sid": "database", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::my-secret-bucket-123456789012/beanstalk-database.json" ] } ] }
3. 在应用程序包root中添加一个名为s3-connection-info-file.config的文件到/.ebextensions，其中包含以下内容： Resources: AWSEBAutoScalingGroup: Metadata: AWS::CloudFormation::Authentication: S3Auth: type: "s3" buckets: ["my-secret-bucket-123456789012"] roleName: "aws-elasticbeanstalk-ec2-role" files: "/tmp/beanstalk-database.json" : mode: "000644" owner: root group: root authentication: "S3Auth" source: https://s3-us-west-2.amazonaws.com/my-secret-bucket-123456789012/beanstalk-database.json

然后更新您的应用程序代码以从文件/tmp/beanstalk-database.json中提取值（或者您决定将其放入实际配置中的任何位置）。

这个问题已经有了答案，但我想为这个问题提供替代解决方案。而不是必须在环境变量中保密（然后必须在版本控制之外的地方进行管理和存储，再加上你需要记住在部署时设置它们），我将所有秘密都放在加密的S3存储桶中，只能从EB正在运作的角色。然后我在启动时获取秘密。这样可以将部署与配置完全分离，您再也不必在命令行中调整秘密。

如果需要（例如，如果在应用程序设置期间需要密钥，例如获取代码的存储库的密钥），您还可以使用带有.ebextensions指令的S3Auth配置文件，以便轻松地将所述S3存储桶的内容复制到本地实例;否则只需使用AWS SDK在启动时从应用程序中获取所有机密。

编辑：自2018年4月起，AWS为秘密管理提供专门的托管服务; AWS秘密管理器。它以字符串或json格式，版本控制，阶段，旋转等提供方便安全的秘密存储。它还消除了KMS，IAM等的一些配置，以便更快地进行设置。我认为使用任何其他AWS服务存储静态敏感数据（如私钥，密码等）没有任何理由。

我一直在使用另一个shell脚本，一些./deploy_production.sh来设置特定于环境的变量。在shell脚本中，您可以使用“eb setenv NAME1 = VAR1 NAME2 = VAR2 ...”来设置env var。

而且这个文件不需要进入git repo。