Tu aplicación en EC2 se autentica ante AWS usando una clave de acceso de larga duración incrustada en la AMI. ¿Cuál es el mejor patrón?
Respuesta breve
Una clave estática incrustada en una imagen se filtra con facilidad y vive para siempre, así que la solución es eliminar por completo la credencial de larga duración: adjunta un rol IAM mediante un perfil de instancia, que entrega credenciales temporales rotadas automáticamente sin nada incrustado. La rotación manual cada 90 días sigue dejando un secreto de larga duración en la AMI entre rotaciones. Mover la clave a una variable de entorno no la hace menos estática ni menos filtrada. Enviarla por correo al equipo de operaciones propaga la exposición a buzones y archivos.
Esta pregunta separa a los candidatos que gestionan secretos de los que los eliminan. Una clave de larga duración incrustada en una AMI es un antipatrón de manual, y la respuesta sólida elimina el secreto en lugar de vigilarlo.
Por qué los roles de instancia son el mejor patrón
Cuando adjuntas un rol IAM mediante un perfil de instancia, la instancia EC2 obtiene credenciales temporales del servicio de metadatos de la instancia. AWS las rota automáticamente, varias veces al día, y expiran por sí solas. No hay clave que incrustar en la imagen, ni clave que filtrar en una instantánea, ni clave que rotar a mano. Si se da de baja la instancia, las credenciales simplemente dejan de emitirse. Esto reduce tanto la probabilidad de exposición como la duración de cualquier exposición que ocurra.
Por qué los distractores son más débiles
- Rotar manualmente cada 90 días. La rotación reduce la ventana, pero entre rotaciones sigues teniendo un secreto de larga duración incrustado. Cualquiera que copie la AMI, una instantánea o el disco en ejecución obtiene una clave válida durante meses. Además depende de que un humano se acuerde de hacerlo.
- Guardarla en una variable de entorno. Esto cambia dónde vive la clave estática, no el hecho de que sea estática, incrustada y filtrable. Las variables de entorno son incluso más fáciles de volcar (listados de procesos, registros de fallos, procesos hijos).
- Enviarla por correo a operaciones. Ahora el secreto vive en bandejas de entrada, carpetas de enviados y archivos de correo de varias personas. Esto multiplica la superficie de exposición y es de lo peor que se puede hacer con una credencial.
Qué buscan los entrevistadores
El instinto de eliminar la credencial de larga duración en lugar de protegerla, más entender la mecánica: perfil de instancia hacia rol, credenciales temporales desde metadatos, rotación automática. Puntos extra por un plan de migración realista: adjuntar el rol, cambiar el SDK a la resolución de credenciales por defecto, confirmar que funciona, y luego revocar y eliminar la clave antigua.
Posibles preguntas de seguimiento
- ¿Cómo obtiene realmente la instancia las credenciales del rol, y con qué frecuencia se rotan?
- ¿Cuál es tu plan de migración para eliminar la clave incrustada sin interrupción del servicio?
- ¿Cómo detectarías que una clave de larga duración se ha filtrado o se usa desde una ubicación inesperada?