将Windows用户名/密码注入到CloudFormation中
0
【以下的问题经过翻译处理】 一位客户在AWS上构建了Active Directory,并希望使用CloudFormation模板启动Windows机器。在启动EC2机器时,它应该运行一个PowerShell脚本,将其加入到AD域。但是脚本应该知道具有“AD Join”权限的AD管理员帐户的用户名和密码。
现在,这位客户需要将AD管理员的用户名和密码注入到CloudFormation模板的用户数据部分中。有哪些选项可用?有什么利弊?
- 将用户名/密码作为CloudFormation输入参数获取?
- 从安全管理的S3对象中获取用户名/密码?
想知道其他人如何处理这种常见情况。
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 两者都是很好的选择。S3已被广泛采用,用于向CloudFormation堆栈传递长凭证(例如密钥),但现在还有另一个选项; KMS。采用此方法的好处包括解密的审计跟踪,密码加密的自动轮换,以及不必使用整个S3桶。
以下是如何从映射和被该实例使用的IAM角色引用KMS加密内容以解密密钥的示例:
相关内容
AWS 官方已更新 1 年前- AWS 官方已更新 1 年前