AWS Secrets Manager 踩坑记

最新推荐文章于 2024-09-03 17:31:16 发布
最新推荐文章于 2024-09-03 17:31:16 发布
阅读量1k 收藏 25
点赞数 7
文章标签: aws elasticsearch 云计算 devops hystrix 程序人生 ci/cd
本文链接:https://blog.csdn.net/weixin_38980638/article/details/141727568
版权

AWS Secrets Manager 踩坑记

最近项目上在引入AWS Secrets Manager作为RDS密码管理以取代直接将密码放在config中的实现,同时要加入secretsmanger的password auto-rotation,看似平平无奇的功能,却着实让人踩了很多坑,所以我决定吧这个悲伤的故事写成一篇博客。

首先来看看secretsmanger是什么呢?顾名思义,就是一个管理的密码serverless的服务,将通常保存在配置文件中的敏感数据如密码,用户名保存到secretsmanger中,可以是诸如数据库连接凭证,也可以单纯的存储其它的第三方登录凭证。

AWS Secrets Manager helps you protect secrets needed to access your applications, services, and IT resources. The service enables you to easily rotate, manage, and retrieve database credentials, API keys, and other secrets throughout their lifecycle.

AWS Secrets Manager 以key/value pair的方式存储secrets的内容,同时支持secrets cross region replication,rotation等, 目前很多aws的服务如RDS等都支持了rotation功能,第三方的secrets也可以通过实现自己的lambda进行rotaion。

为什么要用secretsmanager

我一直信奉大道至简的理念,如果没有迫切的需求或切实的收益而增加一个依赖或服务,就是徒增(脑)烦恼(残)。

所以为什么要加入它呢?

  1. 增加安全性:显而易见,敏感信息将不再存储在代码中,同时如果项目也是构建在AWS之上的,那么于其它服务的深度集成也是十分便利的
  2. 地区法律或规定的要求:可能受制于地方法律
  3. 或在项目合同要求密码需要rotaion,audit等等功能,自己再去实现这些东西显然是不现实的。
  4. 便于多服务下的统一密码管理,对应于微服务或serverless的场景

先来回国一下, 在没有引入诸如secretsmanager服务之前,我们通常如何管理密码的呢?

  1. 纯文本存储

    一般的项目有可能直接就将密码存到config中,可能并不加密(真实case,并不是编出来的),出于安全考虑,这个config一般不会被git trace,当然头铁放进去在天朝也不违法。那这样的安全问题就显而易见,代码泄露或者服务器被偷都会将密码。

    但是,这就是烂的设计吗?我觉得不一定,至少分情况:如果一个应用的安全要求并没有太高,如这个博客应用,这样的设计我认为恰好是合适的,我发了篇文章手动备个份,即便整个被黑了还不是重新部署一下的事情。如果引入我下面举例的实现,安全性提升带来的收益并不与付出和复杂性相等。所以我认为这样的方式也是有其应用场景与价值的。

  2. 环境变量载入

    将密码作为环境变量进行载人,在container或主机终止时,密码信息便无法获取,非敏感配置便可以放到config中并加入version control中。这样做就需要在服务或容器或主机启动时主动注入环境变量,如果集成了如github action这样可以支持密码存储的CI/CD工具,那么也可以以比较方便且安全的方式将密码信息注入到环境变量中。但如果手动部署(不要奇怪,即便2022,不是所有项目都前后分离,也不是所有项目都有CI/CD), 那么启动参数将会爆炸。

  3. 存储加密密码文本

    在这种方式下我们将敏感信息通过密钥进行加密,在容器&服务启动或在密码需要被使用时进行解密,解密的密钥一般也可以通过环境变量在容器&服务启动时注入。

  4. config server

    可以将密码等信息统一的存储到config server中如Spring Cloud Config,与应用服务相解耦,减少脱库泄露密码的风险,同时,config server在微服务的项目中可以有效的减少密码和其它配置信息的冗余。

  5. Secrets-manager platform

    相较于config server,secrets-manager 更关注于密码存储的安全性,如加入secrets-manager自己的ACL, audit, secrets-rotation等功能,同时复杂度也会进一步的提升。AWS Secrets Manager 便是其中的一种,还有如Valut等(就是为了举例搜到的,我也没用过)。

怎么用AWS Secrets Manager

secrets-manager的使用看上去还是很简单的,如果你使用过其它AWS的服务,那么它的套路也是熟悉的配方,我们可以通过下面的cloudformation来看一下一个比较完整的case:

也可以参考官方文档中的sample

AWSTemplateFormatVersion: '2010-09-09'
Transform: AWS::SecretsManager-2020-07-23

Parameters:
  DatabaseARN:
    Type: String
  KmsKeyARN:
  	Type: String
	SecurityGroup:
		Type: String
	VpcSubnets:
		Type: String
	
Resources:
  PostgresSecret:
    Type: AWS::SecretsManager::Secret
    Properties:
      Name: secretsName
      KmsKeyId: !Ref KmsKeyARN
      GenerateSecretString:
        SecretStringTemplate: !Sub '{"username": "postgres", "dbname": "postgres","ssl": false}'
        GenerateStringKey: password
        PasswordLength: 12
        ExcludeCharacters: "\"@/\\"
  PostgresAttachment:
    Type: AWS::SecretsManager::SecretTargetAttachment
    Properties:
      SecretId: !Ref PostgresSecret
      TargetId: !Ref DatabaseARN
      TargetType: AWS::RDS::DBInstance
  PostgresSecretRotation:
    Type: AWS::SecretsManager::RotationSchedule
    DependsOn: PostgresAttachment
    Properties:
      SecretId: !Ref PostgresSecret
      HostedRotationLambda:
        RotationType: PostgreSQLSingleUser
        RotationLambdaName: PostgreSecretsManagerRotationLambda
        KmsKeyArn: !Ref KmsKeyARN
        VpcSecurityGroupIds: !Ref SecurityGroup
        VpcSubnetIds: !Ref VpcSubnets
      RotationRules:
        AutomaticallyAfterDays: 60

从以上的sample中我们可以看到主要有三个resource: 密码自身、与RDS attach,以及rotation的需要的资源。我们可以逐个分析一下

  1. AWS::SecretsManager::Secret

    密码自身,可以看到上面的sample中密码是自动生成的,我们只是做了简单的规约。同时我们需要指定一个kms 对我们的secrets进行加密。

    这里比较tricky的一点是,如果我们想要只想存储一个非rotation的密码,是没办法直接在cloudformation中完成的,我们不能把密码直接写在cloudformation中,即便用参数的方式传入,stack上的parameter是明文显示的,所以如只是存储非rotaiton的secrets,最好在stack生成之后在console上手动update。

  2. AWS::SecretsManager::SecretTargetAttachment

    该资源用于将创建的secrets与数据库进行相关联,secrets manage目前可以支持一下服务的attach和rotaion:

    • Amazon Aurora on Amazon RDS
    • MySQL on Amazon RDS
    • PostgreSQL on Amazon RDS
    • Oracle on Amazon RDS
    • MariaDB on Amazon RDS
    • Microsoft SQL Server on Amazon RDS
    • Amazon DocumentDB
    • Amazon Redshift

  3. AWS::SecretsManager::RotationSchedule

    定义secrets rotaion的规则。上面列出的服务都已经很好的支持的rotation,WAS官方提供了lamba的实现,HostedRotationLambda 会启动一个Nested lamba来进行roation,你只需要配置好相关的参数即可。如果需要对非上述服务的密码或第三方的其它密码也进行rotaiton,则需要显示部署一个进行rotaion的lambda来实现rotaiton。需要为rotaitonlambda指定相应的secuirty group和subnets使其可以访问目标服务。

遇到了哪些坑?

上面的一切都看似简单且美好,但在使用它之前你可能需要看看我遇到的这些坑.

  1. 对于已经存在的用户,需要在第一次进行链接时手动更新密码

    一般使用这些服务时可能都会有As code(infrastructure as code)的要求, 我们如果直接将密码hard code到cloudformation或者以参数的方式传入,那么密码都是可见的,显然不能这样做,所以可能都需要使用GenerateSecretString的方式。如果是创建一个新的用户和密码,那是没问题的,但是如果是为一个已经存在的用户进行配置,那么就会有问题,因为该用户和密码已经存在,且密码和generate出来的那个不一样,这样secrets-manager便无法连接到目标服务。如果enable了auto-rotation,那么在stack创建时就会自动进行一次rotation,因为连接无法成功,所以rotation也会失败。因此在第一次stack创建时,就得手动的将服务的密码更新为generate出来的那个,这样secrets-manager才可以成功进行链接和rotation。但这显然不是一个好的实践,也没找到什么好的办法,好在只是在第一次stack创建时需要的操作。

  2. 无法指定具体的rotation time

    我们在上面的cloudformation中可以看到在enable auto-rotation的时候指定了AutomaticallyAfterDays, 那么secrets-manager会在指定N天后的什么时候发生rotation呢?答案就是鬼知道,aws会在那一天的随机一个时刻进行更新,但总之我们是不可控的,所以最大可能有48h的一个时间差。但从文档上看现在如果不使用cloudformation是可以指定具体的更新时间的,可以指定一个cronjob的expression,但cloudformation不支持就很奇怪,如果建好了在去手动更改,那As code不成了笑话了,,

  3. service无法被告知password rotation

    当我们将secrets migrate到secrets-manager之后,应用服务就不需要在存储密文或者加密之后的密文啦,那么我们如何获取密文呢?aws给出的方案是用aws-sdk进行获取,本质就是一个http请求,只需要给需要密文的服务secretsmanager:GetSecretValue的权限就可以了。但让人难受的是,http 是无状态的,如果我们开启了auto-rotation,我们需要主动去请求secrets-manager获取最新的密码信息。更坑的是由于第二点所说的我们无法指定具体的rotation时间,这就意味着应用服务可能会有downtime。

怎么填坑?

从上面那几个坑中,影响最大的可能就是第三个坑了,因为如果引入了一个新的服务带来的居然是downtime的话,显然是无法让人接受的。那么怎么去解决这个问题呢?

  1. 双用户

    这也是aws官方给出的一个解决方案,比如对一个数据库给应用服务两个用户,两个用户的rotaiton时间一致,但是有几天的间隔,比如都是都是每60天rotation一次,然后连个用户的创建时间隔个十天二十天。应用服务同一时刻只会使用一个用户,在应用服务启动时可以获取最近进行了rotation的用户建立连接池,同时设置几个cronjob,如每天活着没9天(因为隔着10天)再从secrets-manager拿到最近更新的secrets来建立新的连接池。

  2. 连接检测

    只使用一个用户,如果是数据库,就在更新将到来的24h内(48h是极端情况)在进行正真的查询前加一个连接检测,看看当前的连接是否可用,如果不可用且报了auth的错误,就从secrets-manager获取最新的密钥更新连接

  3. 自建lambda

    对于前面列出的已经支持auto-rotaiton的服务aws已经提供的对应的lambda,我们只需要指定类型即可,但我们也可以指定自己的rotation lambda,这样就可以在进行rotation的时候在lambda中自己实现对应用服务的通知,可以直接请求api活着通过使用sqs等。

  4. 手动更改吧

    因为目前console上是可以指定具体时间的,那么如果对infrastructure as code没有什么要求或者就没有as code,那可以直接在aws的console上指定具体的更新时间,比如凌晨3点更新,然后在应用服务器上也定时的去获取新的密钥,如果是一些明显有时间区域的应用,那么可能也是一个可选的方案。

以上就是全部,个人感觉,其实secretsmanger特别是rotation这里坑还是蛮大的,如果不能为业务带来明显的价值,还是需要慎重考虑需不需要,如密码的更新即便在得到了通知之后还需要考虑是要建立新的连接池还是可以支持动态密码,这些细节大概率都会增加系统复杂度。

sevenll07
关注
  • 7
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
jenkins+docker实现可持续自动化部署springboot项目
congge
04-06 1万+
jenkins+docker实现可持续自动化部署springboot项目
aws-secretsmanager-jdbc:AWS Secrets Manager JDBC库使Java开发人员可以使用存储在AWS Secrets Manager中的密钥轻松连接到SQL数据库
05-16
AWS Secrets Manager JDBC库 AWS Secrets Manager JDBC库使Java开发人员可以使用存储在AWS Secrets Manager中的密钥轻松连接到SQL数据库。 执照 该库已根据Apache 2.0许可获得许可。 特征 提供通用JDBC驱动程序的包装,从而实现简单的数据库连接 通过c3p0提供数据库连接池支持 从源头建造 从GitHub下载代码后,可以使用Maven进行构建。 要在构建中禁用GPG签名,请使用以下命令: mvn clean install -Dgpg.skip=true 用法 建议使用SQL连接库的方法是从Maven中使用它。 可以在以下位置找到最新发布的版本: : < dependency> < groupId>com.amazonaws.secretsmanager</ groupId> < art
SpringBoot 整合AWS-Secrets获取数据库用户名密码
weixin_44645285的博客
04-07 828
SpringBoot 整合AWS-Secrets原因实现思路难点收获完整代码地址 原因 笔者所在公司近期生产环境数据库服务全部接入了aws, 为了保证生产环境的安全,以及日常开发的需要,应架构要求特此做了此次整合 实现思路 在spring容器启动前,将配置文件实现动态替换(覆盖),然后按照流程正常启动 通过搜索发现了,可以利用 org.springframework.boot.env.EnvironmentPostProcessor 环境后置处理完成功能 难点 1.aws的demo
第四章:安装Docker,安装配置gitlab私有仓库以及jenkins自动化部署(图文)
Java程序员廖志伟
10-16 3708
================docker安装开始==================== #准备工作 查看内核信息: uname -r 结果: 4.18.0-305.3.1.el8.x86_64 卸载旧版本 yum remove docker docker-common docker-selinux docker-engine yum remove docker-ce 卸载后将保留/var/lib/docker的内容(镜像、容器、存储卷和网络等)。 rm -rf /var/lib/docker #下载之
【Docker/GitLab/Jenkins】
Java程序员廖志伟
12-11 1714
我是廖志伟,一名Java开发工程师、幕后大佬社区创始人、Java领域优质创作者、CSDN博客专家。拥有多年一线研发经验,研究过各种常见框架及中间件的底层源码,对于大型分布式、微服务、三高架构(高性能、高并发、高可用)有过实践架构经验。
二进制部署Kubernetes-v1.14.1集群
weixin_30566063的博客
05-29 674
一、部署Kubernetes集群 1.1Kubernetes介绍 Kubernetes(K8S)是Google开源的容器集群管理系统,K8S在Docker容器技术的基础之上,大大地提高了容器化部署应用简单高效。并且具备了完整的集群管理能力,涵盖项目周期的各个环节。 Docker与Kubernetes联系:Docker是一个容器引擎,用于运行容器,Kubernetes是一个容器编排系统,不具...
二进制部署 单Master Kubernetes-v1.14.1集群
无名小生
05-08 200
一、部署Kubernetes集群 1.1 Kubernetes介绍 Kubernetes(K8S)是Google开源的容器集群管理系统,K8S在Docker容器技术的基础之上,大大地提高了容器化部署应用简单高效。并且具备了完整的集群管理能力,涵盖项目周期的各个环节。 Docker与Kubernetes联系:Docker是一个容器引擎,用于运行容器,Kubernetes是一个容器编排系统,不具备容器引擎功能,相比Docker是一个更高级封装,而他们在一起堪称珠联璧合。 1.2 创建Kubernetes集群方式
Kubernetes(k8s) 笔记总结(一)
探索技术与实践的旅程,分享编程经验与工具使用心得,助力开发者提升技能。
01-08 2178
1. 云平台 2. 私有网络 VPC(重点!!!) 3. Kubernetes 介绍 4. k8s 架构 5. kubectl 和 kubeadm 6. 三台云服务器的 安装部署 7. Kubernetes 环境搭建 7.1 安装docker环境 7.2 安装k8s的 预备环境 8. kubernetes集群 安装的三大件(kubelet、kubeadm、kubectl) 9. kubernetes集群 初始化主节点 10. kubernetes集群 将Worker节点加入集群 11. kubernetes
DEVOPS架构师 -- 03Kubernetes进阶实践
明日之星
10-24 4223
文章目录第三天 Kubernetes进阶实践ETCD常用操作Kubernetes调度为何要控制Pod应该如何调度调度的过程CordonNodeSelectornodeAffinity污点(Taints)与容忍(tolerations)Kubernetes集群的网络实现CNI介绍及集群网络选型,Flannel网络模型实现剖析vxlan介绍及点对点通信的实现跨主机容器网络的通信Flannel的vxlan实现精讲利用host-gw模式提升集群网络性能Kubernetes认证与授权APIServer安全控制kube
aws-secrets-manager-rotation-lambdas:包含用于自动旋转存储在AWS Secrets Manager中的机密的Lambda函数
01-30
AWS Secrets Manager旋转Lambda函数 包含Lambda函数,用于自动轮换存储在AWS Secrets Manager中的机密 许可证摘要 该示例代码在经过修改的MIT许可下可用。 请参阅许可文件。
hiera-secrets-manager:使用AWS Secrets Manager的Hiera后端
05-23
Hiera AWS Secrets Manager后端 :key: 一个查询AWS Secrets Manager的hiera后端,该实例使用Puppet Environments进行命名空间设置。 $ hiera ' my_system/password ' \ environment=prod \ --config ~ /hiera....
aws-parameter-cache:AWS System Manager参数存储和AWS Secrets Manager的参数缓存
03-14
AWS System Manager参数存储和AWS Secrets Manager的参数缓存 安装 npm install --save aws-parameter-cache 如何使用 import { ssmParameter } from 'aws-parameter-cache' ; const param = ssmParameter ( { name...
k8s快速入门
Shawn的个人博客
02-18 1950
minikube只是一个 K8S 集群模拟器,只有一个节点的集群,只为测试用,master 和 worker 都在一起直接用云平台 Kubernetes(阿里/腾讯)可视化搭建,只需简单几步就可以创建好一个集群。优点:安装简单,生态齐全,负载均衡器、存储等都给你配套好,简单操作就搞定裸机安装(Bare Metal)至少需要两台机器(主节点、工作节点个一台),需要自己安装 Kubernetes 组件,配置会稍微麻烦点。可以到各云厂商按时租用服务器,费用低,用完就销毁。
AWS账号关闭后的影响:您需要知道的一切
九河云的创作之路
09-02 348
只有在充分准备和考虑后,才能确保AWS账号的关闭过程顺利进行,将潜在的负面影响降到最低。首先,需要明确的是,一旦AWS账号被关闭,与该账号相关的所有服务和资源将停止运行。因此,在关闭账号之前,用户必须确保已经备份了所有重要数据,并妥善处理了所有正在运行的服务。这通常是因为账号中仍有未解决的问题,例如未支付的账单、正在运行的资源或未删除的IAM用户。然而,当用户决定关闭其AWS账号时,可能会对其现有的服务和资源产生重大影响。然而,值得注意的是,在账号关闭之前产生的费用仍然需要支付。
AWS-亚马逊网络服务(基础服务)-AWS 定价计算器-概述与动手部署:
2401_85233349的博客
08-31 849
让我们看看如何使用和配置 AWS 定价计算器来计算 EC2 的成本,操作系统为 Linux, 实例系列为 t3.large, 实例类型成本计划为按需, 快照为每日, EBS-100GB, 详细监控为已启用。AWS 定价计算器是 Amazon Web Services (AWS) 提供的基于 Web 的工具,可帮助用户估算其特定用例的 AWS 服务成本。用户可以选择单个 AWS 服务,如 EC2、S3、RDS、Lambda 等,并自定义其配置以查看详细的成本明细。6- 租户允许共享,操作系统为 Linux。
AWS EC2安全组配置:轻松开放端口访问
九河云的创作之路
09-03 516
选择要开放的协议类型(如TCP、UDP等),输入端口号,然后在来源处选择允许访问的IP范围。通过以上步骤,您可以轻松管理EC2实例的端口访问,既保证了服务的可用性。记住,定期检查和更新安全组配置是保持EC2实例安全的关键。点击左侧导航栏中的"安全组",找到对应实例的安全组。选择该安全组,点击"编辑入站规则"。在AWS EC2实例上开放特定端口是配置服务器安全性和可访问性的重要步骤。在EC2控制面板中,找到需要开放端口的实例,并记下其安全组ID。添加完所需的规则后,点击"保存规则"以应用更改。
golang中使用aws-sdk-go-v2
最新发布
weixin_44919041的博客
09-03 791
golang使用aws-sdk-go-v2操作oss cos obs minio等
使用 Cloudflare R2 代替 AWS S3……
2401_85233349的博客
09-02 1239
4. AWS S3 定价 ∘ AWS S3 定价详情 (美国东部 - 弗吉尼亚北部地区) 5. Cloudflare R2 定价 ∘ Cloudflare R2 定价详情 (美国地区) 6.免费套餐:AWS S3 与 Cloudflare R2 ∘ AWS S3 免费套餐 ∘ Cloudflare R2 免费套餐 7.哪个免费套餐更好?在这篇博文中,我们将深入探讨 AWS S3 和 Cloudflare R2 提供的功能、它们的定价结构、它们的比较,并帮助您确定哪一个最适合您的需求。
aws secrets manager
03-16
AWS Secrets Manager是一项AWS服务,用于管理和保护云环境中的敏感信息,例如数据库密码、API密钥和其他凭据。它提供了一个安全的方式来存储和访问这些敏感信息,同时也可以自动轮换密码和凭据,以确保安全性。AWS Secrets Manager可以与其他AWS服务集成,例如Amazon RDS和Amazon EC2,以便在应用程序中自动获取凭据。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值