Eu implantei meu aplicativo Django no Elastic Beanstalk com a intenção de usar sua interface de configuração de variável de ambiente para armazenar minhas chaves de API em vez de armazená-las na minha fonte (como descrito aqui /programming//a/17878600 ).
Depois disso, descobri que o que o Beanstalk chama de variáveis de ambiente não são realmente variáveis de ambiente do shell (como mencionado aqui /programming//a/24564832/378638 ) e são armazenadas na instância em um arquivo de configuração (como descrito aqui /programming//a/24566283/378638 ).
Isso parece um problema de segurança para mim. Isso não derrota o objetivo de manter as chaves secretas fora da fonte? Entendo que eles não estão mais no repositório, mas ainda estão acessíveis na instância.
Estou entendendo mal o risco? Eu sou administrador de sistemas por herança, por favor, desculpe minha ignorância aqui. Devo apenas carregar as variáveis do Beanstalk como variáveis de ambiente do shell por meio do arquivo de configuração e seguir em frente, já que o arquivo é acessível apenas via raiz ou a minha preocupação é válida? Obrigado.
fonte