保护Terraform状态文件中的敏感数据

本节讨论混淆机密和指针，以处理名为的Terraform状态文件中的敏感数据。tfstate通常，这是一个纯文本文件，其中包含有关Terraform部署的数据，还包括有关已部署基础架构的所有敏感和非敏感数据。敏感数据在Terraform状态文件中以纯文本形式可见。要帮助保护敏感数据，请执行以下操作：

• 摄取密钥时，请选择立即轮换密钥。有关更多信息，请参阅 S AWS Secrets Manager ecrets Manager 文档中的立即轮换密钥。

• 将Terraform状态文件存储在您操作 Secrets Manager 的集中AWS 账户位置。将文件存储在亚马逊简单存储服务 (Amazon S3) 存储桶中，并配置限制访问该文件的策略。有关更多信息，请参阅 Amazon S3 文档中的存储桶策略和用户策略。

• 使用 Amazon DynamoDB 表来锁定状态文件Terraform。这有助于防止文件损坏。有关更多信息，请参阅Terraform文档中的 S3 后端。