Google compute engine GCE实例的自定义元数据值是否安全存储?
我想知道google compute engine VM实例的自定义元数据是否是存储敏感信息以配置在该实例上运行的应用程序的合适位置 因此,我们使用容器优化的操作系统映像来运行微服务。我们为容器配置环境变量,比如数据库连接的cred和我们集成的其他系统 对于每个CD部署,虚拟机都被视为短暂的,到目前为止,我想到的最好方法是创建一个实例模板,其中的配置值通过我在本地机器上保存的文件加载到虚拟机自定义元数据中,然后在虚拟机启动(云配置)时提供给systemctl单元 这意味着环境变量值(一些包含cred)由我上传(变化不大),然后在启动新VM时从VM实例元数据服务器中提取。所以我只是想知道这种方法是否存在重大的安全问题 非常感谢您的帮助根据: 元数据信息安全吗 当你请求获得 来自元数据服务器的信息、您的请求和后续 元数据响应从不离开运行虚拟机的物理主机 机器实例 由于请求和响应没有离开物理主机,因此您将无法从其他VM或Google云平台外部访问元数据。但是,任何具有VM访问权限的用户都可以查询元数据服务器并检索信息 根据您提供的信息,以这种方式存储测试或登台环境的凭据是可以接受的。但是,如果这是一个生产系统,其中包含对业务非常重要的客户或信息,我会将凭据保存在跟踪访问的安全存储中。元数据服务器中的数据未加密,访问也未记录 根据: 元数据信息安全吗 当你请求获得 来自元数据服务器的信息、您的请求和后续 元数据响应从不离开运行虚拟机的物理主机 机器实例 由于请求和响应没有离开物理主机,因此您将无法从其他VM或Google云平台外部访问元数据。但是,任何具有VM访问权限的用户都可以查询元数据服务器并检索信息Google compute engine GCE实例的自定义元数据值是否安全存储?,google-compute-engine,Google Compute Engine,我想知道google compute engine VM实例的自定义元数据是否是存储敏感信息以配置在该实例上运行的应用程序的合适位置 因此,我们使用容器优化的操作系统映像来运行微服务。我们为容器配置环境变量,比如数据库连接的cred和我们集成的其他系统 对于每个CD部署,虚拟机都被视为短暂的,到目前为止,我想到的最好方法是创建一个实例模板,其中的配置值通过我在本地机器上保存的文件加载到虚拟机自定义元数据中,然后在虚拟机启动(云配置)时提供给systemctl单元 这意味着环境变量值(一些包含cr
根据您提供的信息,以这种方式存储测试或登台环境的凭据是可以接受的。但是,如果这是一个生产系统,其中包含对业务非常重要的客户或信息,我会将凭据保存在跟踪访问的安全存储中。元数据服务器中的数据未加密,访问也未记录你认为什么是敏感信息?这些敏感信息是如何使用的?您将如何管理这些信息?它是否会随着时间的推移而变化?如果是,您将如何管理这种变化?您是否需要对访问和/或使用情况进行审核?我很想说,对敏感信息来说,元数据的使用不是很好。也许将它存储在谷歌云存储中,该文件只能由计算引擎运行的服务ID读取。嘿,本欢迎StAccess,你应该用更多的细节和你所看到的任何参考来描述你的问题,这样我们可以帮助你轻松地考虑什么是敏感信息?这些敏感信息是如何使用的?您将如何管理这些信息?它是否会随着时间的推移而变化?如果是,您将如何管理这种变化?您是否需要对访问和/或使用情况进行审核?我很想说,对敏感信息来说,元数据的使用不是很好。也许可以将其存储在Google云存储中的一个文件中,该文件只能由计算引擎运行时的服务id读取。嘿,Ben欢迎来到StackOverflow,您应该用更多细节和您看到的任何参考资料来描述您的问题,以便我们可以轻松地帮助您