状态中的敏感数据

根据所使用的资源和您对“敏感”的定义，OpenTofu 状态可能包含敏感数据。状态包含资源 ID 和所有资源属性。对于数据库等资源，这可能包含初始密码。

使用本地状态时，状态存储在纯文本 JSON 文件中。

使用 远程状态 时，状态仅在 OpenTofu 使用时保存在内存中。它可能在静止时被加密，但这取决于特定的远程状态后端。

建议​

如果您使用 OpenTofu 管理任何敏感数据（如数据库密码、用户密码或私钥），则将状态本身视为敏感数据。

远程存储状态可以提供更好的安全性。当使用远程状态时，OpenTofu 不会将状态持久化到本地磁盘，并且某些后端可以配置为在静止时加密状态数据。

例如

• 当启用 encrypt 选项时，S3 后端支持在静止时加密。IAM 策略和日志可用于识别任何无效访问。对状态的请求通过 TLS 连接进行。