Google compute engine GCE实例的自定义元数据值是否安全存储?

Google compute engine GCE实例的自定义元数据值是否安全存储?,google-compute-engine,Google Compute Engine,我想知道google compute engine VM实例的自定义元数据是否是存储敏感信息以配置在该实例上运行的应用程序的合适位置 因此,我们使用容器优化的操作系统映像来运行微服务。我们为容器配置环境变量,比如数据库连接的cred和我们集成的其他系统 对于每个CD部署,虚拟机都被视为短暂的,到目前为止,我想到的最好方法是创建一个实例模板,其中的配置值通过我在本地机器上保存的文件加载到虚拟机自定义元数据中,然后在虚拟机启动(云配置)时提供给systemctl单元 这意味着环境变量值(一些包含cr

我想知道google compute engine VM实例的自定义元数据是否是存储敏感信息以配置在该实例上运行的应用程序的合适位置

因此,我们使用容器优化的操作系统映像来运行微服务。我们为容器配置环境变量,比如数据库连接的cred和我们集成的其他系统

对于每个CD部署,虚拟机都被视为短暂的,到目前为止,我想到的最好方法是创建一个实例模板,其中的配置值通过我在本地机器上保存的文件加载到虚拟机自定义元数据中,然后在虚拟机启动(云配置)时提供给systemctl单元

这意味着环境变量值(一些包含cred)由我上传(变化不大),然后在启动新VM时从VM实例元数据服务器中提取。所以我只是想知道这种方法是否存在重大的安全问题

非常感谢您的帮助

根据:

元数据信息安全吗

当你请求获得 来自元数据服务器的信息、您的请求和后续 元数据响应从不离开运行虚拟机的物理主机 机器实例

由于请求和响应没有离开物理主机,因此您将无法从其他VM或Google云平台外部访问元数据。但是,任何具有VM访问权限的用户都可以查询元数据服务器并检索信息

根据您提供的信息,以这种方式存储测试或登台环境的凭据是可以接受的。但是,如果这是一个生产系统,其中包含对业务非常重要的客户或信息,我会将凭据保存在跟踪访问的安全存储中。元数据服务器中的数据未加密,访问也未记录

根据:

元数据信息安全吗

当你请求获得 来自元数据服务器的信息、您的请求和后续 元数据响应从不离开运行虚拟机的物理主机 机器实例

由于请求和响应没有离开物理主机,因此您将无法从其他VM或Google云平台外部访问元数据。但是,任何具有VM访问权限的用户都可以查询元数据服务器并检索信息


根据您提供的信息,以这种方式存储测试或登台环境的凭据是可以接受的。但是,如果这是一个生产系统,其中包含对业务非常重要的客户或信息,我会将凭据保存在跟踪访问的安全存储中。元数据服务器中的数据未加密,访问也未记录