现在我将用户名和密码作为环境变量传递。从不同的文件中检索变量,因此使用git存储的cloudformation不包含密码和用户名,这是好的。但是,现在,当在控制台中查看lambda时,它们以纯文本形式存储。
以大多数云提供商不可知的方式存储这些凭据的最佳做法是什么?我基本上只是不想使用KMS或任何其他存储AWS服务的密钥。
为了完整起见,我还考虑将密码存储在dynamodb表中。然后我会使用IAM来检索这些凭据。但是,这些凭证仍然以明文形式存储。如果这是检索凭据的最佳方法,那么加密它或这条路径的最佳方法不是最好的。
感谢您的所有意见和建议。
我们在这种情况下使用AWS Secrets Manager。适合我们。