mysql secretkeyspec,mysql – AWS:使用KMS加密的主密码创建RDS实例

最新推荐文章于 2023-04-06 14:22:10 发布
最新推荐文章于 2023-04-06 14:22:10 发布
阅读量399 收藏
点赞数
文章标签: mysql secretkeyspec

我问,因为我不想在我的开发环境(使用terraform或云形成)中存储明文密码,而是由相应的AWS组件透明地解密的加密值.

解决方法:

如果您想使用CLI执行此操作,则始终可以使用KMS密钥加密密码,然后运行两个命令来解密密码并创建数据库.

所以像这样的东西可能有效:

aws rds create-instance ... \

--master-username admin-user \

--master-user-password `aws kms decrypt --ciphertext-blob fileb://path/to/kms/encrypted/file/with/password --output text --query Plaintext | base64 --decode`

如果您仍想使用Terraform创建数据库实例,那么我就是previously answered a question along similar lines.虽然这个问题更关注数据库存储在远程状态文件中.

同样,您可以使用aws_kms_secret data source动态解密密码.这会将密码泄露给日志和状态文件,但:

$echo -n 'master-password' > plaintext-password

$aws kms encrypt \

> --key-id ab123456-c012-4567-890a-deadbeef123 \

> --plaintext fileb://plaintext-example \

> --encryption-context foo=bar \

> --output text --query CiphertextBlob

AQECAHgaPa0J8WadplGCqqVAr4HNvDaFSQ+NaiwIBhmm6qDSFwAAAGIwYAYJKoZIhvcNAQcGoFMwUQIBADBMBgkqhkiG9w0BBwEwHgYJYIZIAWUDBAEuMBEEDI+LoLdvYv8l41OhAAIBEIAfx49FFJCLeYrkfMfAw6XlnxP23MmDBdqP8dPp28OoAQ==

然后在Terraform中:

data "aws_kms_secret" "db" {

secret {

name = "master_password"

payload = "AQECAHgaPa0J8WadplGCqqVAr4HNvDaFSQ+NaiwIBhmm6qDSFwAAAGIwYAYJKoZIhvcNAQcGoFMwUQIBADBMBgkqhkiG9w0BBwEwHgYJYIZIAWUDBAEuMBEEDI+LoLdvYv8l41OhAAIBEIAfx49FFJCLeYrkfMfAw6XlnxP23MmDBdqP8dPp28OoAQ=="

context {

foo = "bar"

}

}

}

resource "aws_rds_cluster" "rds" {

master_username = "root"

master_password = "${data.aws_kms_secret.db.master_password}"

# ...

}

标签:terraform,mysql,amazon-web-services,amazon-rds,amazon-kms

来源: https://codeday.me/bug/20190828/1753198.html

开朗可燃冰Tto
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
terraform-aws-rds:用于配置AWS RDS实例的Terraform模块
01-30
介绍该模块将创建: 数据库实例MySQL,Postgres,SQL Server,Oracle) 数据库选项组(将创建一个新选项,或者您可以使用现有选项) 数据库参数组数据库子网组数据库安全组DB端点在Route53的DNS记录用法重要信息...
被脱库咋办?KMS 给你解决方案!
Authing的博客
11-20 2028
最近经常能听见某某某公司用户信息被泄漏了,某某某公司用户开房记录被脱裤了 … 数据隐私是企业的生命线,其重要性我想无需我多说什么。 上一篇文章我们科普了一下 AWS KMS 服务: AWS KMS 科普: What Why and How? 简要回顾一下:KMS 全称为 Key Management Service,也就是一个密钥管理系统,它在设计上从根本解决了数据的安全性问题,同时还具备完整的安全审计功能,能让我对谁能够访问我的数据、谁什么时候动了我的数据一目了然。 借助 KMS 的帮助,我们能够做到,即
AWSKMS服务
qq_15156403的博客
02-19 288
aws kms
云数据库RDS MYSQL国密加密
qq_39652397的博客
04-15 1694
2012年3月,国家密码管理局正式公布了包含SM4分组密码算法在内的《祖冲之序列密码算法》等6项密码行业标准,本文为您介绍RDS MYSQL国密加密方法。 概述 当前网络安全形势不容乐观,越来越多的国际通用密码算法屡屡被传出被破解、被攻击的传闻,存在较高的安全风险, 一旦被不法分子利用攻击,所产生的损失将不可估量; 此外,当前我国金融系统大多采用国外制定的加密算法,存在着大量的不可控因素。 方案介绍 RDS MySQL支持透明数据加密TDE,即对数据文件执行实时I/O加密和解密。即在数据写入磁盘之前
nacos连接mysql数据库并使用sm4加密数据库密码
qq_41747412的博客
04-06 2313
nacos数据库密码加密
aws-kms-crypt:使用AWS KMS服务加密和解密机密的实用程序
05-02
安全-使用KMS生成的数据密钥进行AES加密()。 简单-用于从所有支持的语言加密和解密敏感数据的简单API。 安装 壳 curl -LO ...
reflex-aws-rds-instance-unencrypted:检测何时创建没有加密配置RDS实例的规则
04-12
反射aws rds实例加密一个Reflex规则,用于检测何时以未加密状态创建RDS实例。 要了解有关RDS实例加密的更多信息,请参阅。入门要开始使用Reflex,请查看。用法要使用此规则,请将其添加到您的reflex.yaml配置文件...
AwsContrib.EnvelopeCrypto:使用KMS加密,而无需将数据发送到Amazon
05-23
AwsContrib.EnvelopeCrypto 一个用于使用AWS KMS(密钥管理服务)进行信封加密的库。 这使您可以加密大型有效负载,而无需将您的秘密暴露给Amazon或通过网络传输大型对象。 有关信封加密,请参阅。如何使用它首先,...
terraform-aws-rds-cluster:Terraform模块,用于为MySQL或Postgres设置RDS Aurora集群
02-04
terraform-aws-rds-集群 Terraform模块,用于为MySQL或Postgres设置集群。 支持 。 该项目是我们针对DevOps的全面方法的一部分。 它是100%开源的,并根据许可。 从字面上看,我们有,它们都是开源的并且维护良好。 ...
Mybatis拦截器安全加解密MySQL数据实战
superjava_的博客
01-08 4280
需求背景 公司为了通过一些金融安全指标(政策问题)和防止数据泄漏,需要对用户敏感数据进行加密,所以在公司项目所有存储了用户信息的数据库都需要进行数据加密改造。包括Mysql、redis、mongodb、es、HBase等。 因为在项目使用springboot+mybatis方式连接数据库进行增删改查,并且项目是途改造数据。所以为了不影响正常业务,打算这次改动尽量不侵入到业务代码,加上mybatis开放的各种拦截器接口,所以就以此进行改造数据。 本篇文章讲述如何在现有项目尽量不侵入业务方式进行
AWS KMS加密和解密
BAStriver的博客
09-04 1934
用于创建和管理加密密钥,在 AWS KMS 创建的客户密钥均受硬件安全模块 (HSM) 保护。
mysql secretkeyspec,K8S落地实践 之 ConfigMap与Secret使用
weixin_32417571的博客
03-17 353
一、作用1、ConfigMap1、实现统一管理环境变量,团队内部一般存在多个项目,这些项目直接存在配置相同环境变量的情况,因此可以统一维护管理。2、对于开发、测试、生产环境,由于配置均不同,每套环境部署的时候都要修改yaml,带来额外的开销。3、可以用来实现业务配置的统一管理, 允许将配置文件与镜像文件分离,以使容器化的应用程序具有可移植性 。2、Secret环境变量有很多敏感的信息,比如账号密...
mysql数据里字段加密会影响性能_mysql 使用KMSAWS RDS加密是否会影响性能?...
weixin_36448411的博客
02-02 465
From my prior experience with database encryption, it really affectsdata retrieving speed (as we can only say if record matches conditionafter reading and decryptng it).如果每个记录的每个值在插入数据库之前都已加密,则会出现这种情况...
AWS KMS 秘钥管理小结
weixin_40050628的博客
08-28 1881
KMS 秘钥管理,文件加密和解密简介官方链接 简介 AWS Key Management Service (AWS KMS)是一种管理服务,让您能够轻松创建和控制 客户密钥 (CMKs),用于加密数据的加密密钥。(详细的参考官方文档) 1.创建客户密钥(CMK) 首先需要创建客户密钥,AWS KMS 支持对称和不对称。 密钥 ARN:ARN是亚马逊资源名称(ARN)的 CMK. 它是 CMK。 密钥 ARN 包括 AWS 账户、区域和密钥 ID。帮助寻找关键的ARN CMK。 密钥ID:唯一标识 CM
aws rds 加密_如何以零停机时间和零数据丢失来加密AWS RDS MySQL副本集
weixin_26722031的博客
07-31 285
aws rds 加密Encryption of production databases can be a very challenging task. It is a very time-consuming operation and during that process, things may go wrong, which is the last thing that you want t...
KMS(数据加密服务: Key managment service)
浴血重生-学习空间
07-02 5403
数据加密服务
KMS提供了哪些功能?
weixin_34124939的博客
09-05 386
  密钥管理   基础版   用户可通过KMS密钥管理界面,对用户密钥进行以下操作:   创建、查看、启用、禁用、计划删除、取消删除用户密钥   修改用户密钥的别名和描述   在线工具加解密小数据   添加、搜索、编辑、删除标签   专业版   用户可通过密钥管理界面或接口,对用户密钥进行以下操作:   包含基础版所有功能   开启、修改、关闭密钥管理轮换周期   创建、撤销、查询授权  ...
mysql secretkeyspec_Kubernetes Secret 秘钥管理
weixin_42098104的博客
01-27 226
Pod使用Secret的两种方法:volume与环境变量创建Secret秘钥cat playground-secret.yamlapiVersion: v1kind: Secrettype: Opaquemetadata:name: "mysql_db_secret"namespace: "default"data:mysql-db-name: "cGxheWdyb3VuZA==" ...
使用kms算法算aaaaaababc的next数组
最新发布
05-31
首先,我们需要计算出字符串的长度,也就是 n=9。 接下来,我们需要根据 KMP 算法的思想,求出字符串的 next 数组。KMP 算法 next 数组的含义是: next[i] 表示当第 i 个字符失配时,模式串需要跳转到的位置。 我们从模式串的第二个字符开始计算 next 值,因为 next[0]=-1 是一个特殊值。我们可以将模式串看成两个部分:前缀和后缀。其前缀表示除了最后一个字符以外,字符串的全部头部组合;后缀表示除了第一个字符以外,字符串的全部尾部组合。 以 aaaaaababc 为例,我们可以得到如下的 next 数组: | i | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | |----|---|---|---|---|---|---|---|---|---| | s | a | a | a | a | a | b | a | b | c | | next[i] | -1 | 0 | 1 | 2 | 3 | 0 | 1 | 2 | 0 | 计算 next 数组的过程如下: 1. next[0]=-1,next[1]=0 2. 对于 i=2,s[0] 和 s[1] 相同,所以 next[2]=1 3. 对于 i=3,s[0] 和 s[2] 相同,所以 next[3]=2 4. 对于 i=4,s[0] 和 s[3] 相同,所以 next[4]=3 5. 对于 i=5,s[0] 和 s[4] 不同,但是 s[1] 和 s[5] 相同,所以需要回退到 next[1] 的位置,即 0,所以 next[5]=0 6. 对于 i=6,s[0] 和 s[5] 不同,但是 s[1] 和 s[6] 不同,但是 s[2] 和 s[6] 不同,但是 s[3] 和 s[6] 不同,但是 s[4] 和 s[6] 不同,但是 s[5] 和 s[6] 相同,所以需要回退到 next[0] 的位置,即 -1,所以 next[6]=-1 7. 对于 i=7,s[0] 和 s[6] 不同,但是 s[1] 和 s[7] 相同,所以需要回退到 next[1] 的位置,即 0,所以 next[7]=0 8. 对于 i=8,s[0] 和 s[7] 不同,但是 s[1] 和 s[8] 不同,但是 s[2] 和 s[8] 相同,所以需要回退到 next[2] 的位置,即 1,所以 next[8]=1 所以,aaaaaababc 的 next 数组为:-1,0,1,2,3,0,1,2,0。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值