如何从安全的 SSoT 容器为 aws_db_instance 资源设置退出前的密码,同时将其保留在状态文件之外?

How to set a pre-exiting password for an aws_db_instance resource, from a secure SSoT container while keeping it out of the state file?

提问人:Tar 提问时间:11/7/2023 更新时间:11/10/2023 访问量:33

问:

我正在尝试找到一种解决方案,用于从预先存在的密钥(当前位于现有 Secrets Manager 资源中)设置主用户密码。aws_db_instance

如果我使用 ,那么密码将存储在我不想要的状态文件中(因为此状态文件不安全,要么被推送到 git 要么存储在某个 S3 或其他东西上......password = data.aws_secretsmanager_secret_version.our_secret.secret_string

如果我使用 ,那么我无法指定我预先存在的密钥:在这种情况下,生成密码的是 AWS,而不是我。另一个问题是AWS将为密钥创建一个新资源,这也是我不希望的。manage_master_user_password = true

依赖 tfvars 也不是一种选择,因为我们需要密码(而不是分散的 tfvars 文件)的单一事实来源,它也是安全的(而不是纯文本文件)。

知道如何做到这一点吗?有没有办法以某种方式从安全的单一事实来源容器中获取密码,同时将其排除在状态文件之外?

amazon-web-services 安全 terraform amazon-rds aws-secrets-manager

评论

答: 暂无答案

上一个:在WordPress项目中的服务器上发现可疑文件('wp-admin/user')[已关闭]

下一个:是否应该披露 Artifactory API 密钥?