Я развернул свое приложение Django в Elastic Beanstalk с намерением использовать его интерфейс конфигурации переменных среды для хранения моих ключей API вместо их хранения в моем источнике (как описано здесь /programming//a/17878600 ).
После этого я обнаружил, что то, что Beanstalk называет переменными среды, на самом деле не является переменными среды оболочки (как упомянуто здесь /programming//a/24564832/378638 ) и хранится на экземпляре в файле конфигурации (как описано здесь /programming//a/24566283/378638 ).
Это похоже на проблему безопасности для меня. Не противоречит ли это цели сохранения секретных ключей вне источника? Я понимаю, что они больше не находятся в репо, но они все еще доступны в данном случае.
Я неправильно понимаю риск? Я сисадмин по наследству, поэтому прошу прощения за мое невежество здесь. Стоит ли просто загружать переменные Beanstalk как переменные среды оболочки через файл конфигурации и двигаться дальше, поскольку файл доступен только через root, или моя проблема актуальна? Спасибо.