在AWS上存储个人信息的最佳实践,以确保我们无法查看。

0

【以下的问题经过翻译处理】 我们存储了我们不应该访问的客户信息,并且不希望因为用户忘记了密码而导致用户失去这些信息,有没有一种好的方法来解决这个问题,使得有权访问我们的AWS的开发人员无法读取客户数据,同时客户可以重置密码,而不会失去访问他们的数据呢?

profile picture
专家
已提问 10 个月前22 查看次数
1 回答
0

【以下的回答经过翻译处理】 你好!看起来 AWS Secrets Manager 和 Key Management Store (KMS) 是解决这个问题的完美方案!如果我理解正确,这应该会对你有所帮助。如果你认为有用,那么请接受我的答案,这样我就可以回答更多关于aws的问题了!

AWS Secrets Manager 可以通过 API 或 AWS CLI 轻松地存储和检索秘密并通过内置或自定义 AWS Lambda 函数进行凭证轮换。您可以使用 Secrets Manager 来存储您不能访问的客户信息,例如密码、API 密钥或个人数据。 Secrets Manager 使用您选择的 AWS KMS 密钥来加密您的秘密,您可以使用详细的 IAM 策略控制谁可以访问您的秘密。您还可以使用内置或自定义 Lambda 函数启用自动轮换秘密,该函数可以调用外部 API 或服务。有关更多信息,请查看此博客!https://aws.amazon.com/blogs/aws/aws-secrets-manager-store-distribute-and-rotate-credentials-securely/

我试图为您创建一步一步的操作,您可以尝试并随时回复任何问题!

1.创建您要用来加密秘密的 KMS 密钥。您可以使用 AWS KMS 控制台或 AWS CLI 创建客户端管理密钥 (CMK)\并配置其密钥策略和密钥轮换设置。

2.在 Secrets Manager 中创建一个秘密,并选择您在步骤 1 中创建的 KMS 密钥。您可以使用 Secrets Manager 控制台或 AWS CLI 存储新的秘密,并为您的秘密提供名称、说明和值。您还可以选择是否启用秘密的自动轮换,并选择一个内置或自定义 Lambda 函数进行轮换。

3.使用IAM策略配置对您的秘密的访问权限。您可以使用IAM控制台或AWS CLI创建IAM角色或用户,并附加策略以根据条件(如源IP地址、时间、MFA身份验证)允许或拒绝对秘密的访问。您还可以在秘密上使用基于资源的策略,以授予跨账户访问或委派权限给其他AWS服务。

4.使用Secrets Manager API或AWS CLI检索您的秘密。您可以使用GetSecretValue API或get-secret-value命令检索秘密的明文值或其元数据。您还可以使用Secrets Manager SDK或库将Secrets Manager与您的应用程序集成。

祝您好运!如果您发现这个回答有用,我将非常感激您能接受我的回答 :) 有关Secrets Manager的更多信息,请访问:https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html

profile picture
专家
已回答 10 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则