sops加密+aws

已于 2024-05-27 09:46:47 修改
阅读量1.2k 收藏 15
点赞数 28
文章标签: terraform
于 2024-05-26 22:59:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43484225/article/details/139222803
版权

sops加密

参考:https://blog.csdn.net/xcswswswws/article/details/130962490

使用age加密
使用其他加密方式,见https://www.jianshu.com/p/d66909e4915b

1.安装age
age是一个简单,现代和安全的文件加密工具,格式和Go库。
它具有显式小键、无配置选项和unix风格的可组合性。

1.1安装choco包管理器
参考:https://blog.csdn.net/omaidb/article/details/120028664
安装choco
参考: https://chocolatey.org/install

查看Get-ExecutionPolicy是否受限制

查看PowerShell会话的执行策略设置

Get-ExecutionPolicy

如果它返回Restricted,则运行下面的语句(3选1即可)

Restricted:这是 Windows 客户端的默认设置。在此策略下,不允许执行任何脚本。
AllSigned:在此策略下,只有签名脚本才能运行,并且在运行之前必须由用户确认。
RemoteSigned:在此策略下,所有从本地来源启动的脚本和配置文件都可以运行。但从互联网下载的脚本必须有一个可信任发行者的数字签名才能运行。
Unrestricted:没有限制,可以运行所有脚本和配置文件。从互联网下载的脚本会在运行前提醒用户。
Bypass:绕过执行策略,允许所有脚本运行,不提供任何警告或提示。
Undefined:没有设置执行策略。如果在计算机、用户或会话范围内未定义执行策略,则会使用更一般范围内的设置。

脚本和配置文件都需要签名,且需要用户确认才能运行

设为AllSigned策略提高安全性 admin用户下执行

脚本和配置文件都需要签名,且需要用户确认才能运行

Set-ExecutionPolicy AllSigned

下载的脚本必须有可信签名才能执行
。。。

这里使用的官方的安装方式:
https://docs.chocolatey.org/en-us/choco/setup

#管理员权限的powershell https://docs.chocolatey.org/en-us/choco/setup#install-with-powershell.exe
Set-ExecutionPolicy Bypass -Scope Process -Force; [System.Net.ServicePointManager]::SecurityProtocol = [System.Net.ServicePointManager]::SecurityProtocol -bor 3072; iex ((New-Object System.Net.WebClient).DownloadString(‘https://community.chocolatey.org/install.ps1’))

choco -v
2.2.2

1.2 安装age
choco install age.portable

通过age-keygen -o key.txt 命令产生一个public key”SOPS_AGE_RECIPIENTS"和private key"SOPS_AGE_KEY", 你可以找到这两个值在你当前目录下的key.txt文件中。
age-keygen -o key.txt
PS C:\WINDOWS\system32> cat .\key.txt

created: 2024-05-26T20:31:55+08:00

public key: age180dtv0ynlrqtfpmpkscm7p8tfg7lvrxcm90m778uytg4q984scaspwvy92

AGE-SECRET-KEY-1TGJ6LHDP2WV4Y5J5YJSPHEJA8M2S3HMEF8JY8QKPG06Y4DLGMK5SM867RK

2.安装sops
你可以在这里Releases · mozilla/sops · GitHub的readme中找到适合您系统的安装方式。
我在windons上还是使用的choco install sops进行的安装
sops/README.rst at master · mozilla/sops · GitHub 这里可以查看age加密方式的一些说明

二、本地加密及测试
key.txt默认内容:

created: 2024-05-26T20:31:55+08:00

#公钥

public key: age180dtv0ynlrqtfpmpkscm7p8tfg7lvrxcm90m778uytg4q984scaspwvy92

#私钥:以AGE开头的都是私钥
AGE-SECRET-KEY-1TGJ6LHDP2WV4Y5J5YJSPHEJA8M2S3HMEF8JY8QKPG06Y4DLGMK5SM867RK

以下流程描述了如何在本地local进行加密

设置环境变量
export SOPS_AGE_RECIPIENTS=xxxx ##在key.txt中 #公钥
export SOPS_AGE_KEY=xxxxx ##在key.txt中 #私钥
windows配置方式为:
在Windows系统中,您可以通过以下几种方式来设置环境变量:
方式一:临时设置(仅限当前命令提示符会话)
打开命令提示符窗口(CMD)或PowerShell。
使用set命令来设置环境变量,例如:
Cmd
set SOPS_AGE_RECIPIENTS=age180dtv0ynlrqtfpmpkscm7p8tfg7lvrxcm90m778uytg4q984scaspwvy92
set SOPS_AGE_KEY=AGE-SECRET-KEY-1TGJ6LHDP2WV4Y5J5YJSPHEJA8M2S3HMEF8JY8QKPG06Y4DLGMK5SM867RK

这种设置只在当前命令行会话中有效,关闭窗口后设置就会丢失。
方式二:通过PowerShell设置环境变量
临时设置
打开PowerShell(推荐使用管理员权限运行)。
使用[Environment]::SetEnvironmentVariable方法来设置永久环境变量,例如:
Powershell
$env:SOPS_AGE_RECIPIENTS = “age180dtv0ynlrqtfpmpkscm7p8tfg7lvrxcm90m778uytg4q984scaspwvy92”
$env:SOPS_AGE_KEY = “AGE-SECRET-KEY-1TGJ6LHDP2WV4Y5J5YJSPHEJA8M2S3HMEF8JY8QKPG06Y4DLGMK5SM867RK”

永久设置
[Environment]::SetEnvironmentVariable(“SOPS_AGE_RECIPIENTS”, “age180dtv0ynlrqtfpmpkscm7p8tfg7lvrxcm90m778uytg4q984scaspwvy92”, “User”)
[Environment]::SetEnvironmentVariable(“SOPS_AGE_KEY”, “1TGJ6LDP2WV4Y5YJ5YJSPHEJA8M2S3HMEF8JY8QKPG06Y4DLGMK5SM867RK”, “User”)

在 [Environment]::SetEnvironmentVariable 方法中,User参数指的是环境变量的作用域。在PowerShell中设置环境变量时,你可以指定变量是针对当前用户的(User)还是系统级别的(Machine)。当你写入User时,你是在说这个环境变量只对当前登录用户生效,不会影响其他用户。

方式三:通过系统设置界面
打开“控制面板” -> “系统和安全” -> “系统” -> “高级系统设置” -> “环境变量”。
在“用户变量”或“系统变量”区域点击“新建”,分别输入变量名(SOPS_AGE_RECIPIENTS 和 SOPS_AGE_KEY)和对应的值。
确单击“确定”保存更改。
这种方式设置的环境变量需要重启应用程序或甚至重启计算机才能让所有程序感知到变更。
选择适合您需求的方法设置好环境变量后,即可在后续的操作中使用这些变量,比如运行SOPS命令时,它会自动读取这些环境变量作为密钥。

例如我有一个examplefile-sensitive.yaml的文件内容如下
mysql_accout: root
mysql_password: adasdsewqweqwasd!@3

加密
#箭头前后要有空格,配置了公钥的环境变量,这里可以不用-a指定公钥
sops -a age180dtv0ynlrqtfpmpkscm7p8tfg7lvrxcm90m778uytg4q984scaspwvy92 -e examplefile-sensitive.yaml > examplefile-sensitive.enc.yaml

查看加密后的文件内容:
C:\Users\ma\Desktop\examplefile-sensitive.enc.yaml
mysql_accout: ENC[AES256_GCM,data:QFOwrQ==,iv:Fv+7098ql2hMTrF4E6yXF5e4yTIKVdEoahNr3xF2H5Q=,tag:ZbbLO5npKpWwCyW0dfFBNQ==,type:str]
mysql_password: ENC[AES256_GCM,data:vpThp972tmBBvUNtIT0BvLYmwA==,iv:uxRkfpAQ0fM7CgGUw+5clMZ6f3vjCpWe9e6I+TwbbRU=,tag:4eYzaoyLFkZpS7JRoE2KKw==,type:str]
sops:
kms: []
gcp_kms: []
azure_kv: []
hc_vault: []
age:
- recipient: age180dtv0ynlrqtfpmpkscm7p8tfg7lvrxcm90m778uytg4q984scaspwvy92
enc: |
-----BEGIN AGE ENCRYPTED FILE-----
YWdlLWVuY3J5cHRpb24ub3JnL3YxCi0+IFgyNTUxOSBnemtab1dabkVvSy9jQWdp
eThXVHhZU3d3VW8za3dCeVU3cEFYM1AwNmcwCmhhMmQxZlgwMXBDUnJvMG4rU0o3
U3B4SzJVL3V3WjBaaE1oYjdoODVWYWsKLS0tIFlEL1R2eHV0cHp3TUZ6RkpwMXpw
cDZmTVVheEFhTWhoMEJnUEQ1RFhrRUEKbi+EdYwytFKth9b8P36LrSSknsja6fMf
UR9z67Y8ggm0AWeaKBLfeihXOEVmg4enVdgeGkHsEMSnsLaqsib/OA==
-----END AGE ENCRYPTED FILE-----
lastmodified: “2024-05-26T13:05:51Z”
mac: ENC[AES256_GCM,data:eqgW3k1XAFZCDUcVwC0rDSDRHMbOu28KullZh7sp0pFR8FJD4p8io5onlRqG9E2t0mByCWgYvgzfF6qiWjIi4vrPrF0tfqYg+jAx82k2p7BinRmpl/gSYjwHKA8zak0u9uh8c7ZKAxk027Vb6+ZWnXEumFipxZL6I3D8eTlJSiE=,iv:sMQNSzFy9qBT0U7nWjMXcSiL9P1cyr7fWXUkMILzDCY=,tag:x5Sscw2NoV9YW4GvHwGg1Q==,type:str]
pgp: []
unencrypted_suffix: _unencrypted
version: 3.8.1

解密
sops -d examplefile-sensitive.enc.yaml > examplefile-sensitive.yaml

三:sops与terraform的集成
在terraform中引用sops,可以参照GitHub - carlpett/terraform-provider-sops: A Terraform provider for reading Mozilla sops files

terraform {
required_providers {
sops = {
source = “carlpett/sops”
version = “~> 0.7.0”
}
}
}

可以在terraform的官网看一下sops_file(即你的加密文件)的写法Terraform Registry

data “sops_file” “demo-secret” {
source_file = “demo-secret.enc.json”
}

您可以通过以下的方式来将敏感信息上传并存储到terraform 的variable中

resource “tfe_variable” “example” {
for_each = nonsensitive(toset([for k, v in data.sops_file.demo-secret.data : k]))
key = each.key
value = data.sops_file.demo-secret.data[each.key]
sensitive = true
category = “terraform”
variable_set_id = tfe_variable_set.example_workspace.id
}

当然我们需要在terraform的variable中手动先配置变量SOPS_AGE_KEY

————————————————
原文链接:https://blog.csdn.net/xcswswswws/article/details/130962490

写bug的人
关注
K8S Secret管理之SOPS
Blue summer的博客
05-24 646
SOPS (Secret OPerationS) 是一个由 Mozilla 开发的命令行工具,用于加密和解密文件中的敏感数据。SOPS支持使用 AWS KMS、GCP KMS、Azure Key Vault、PGP 加密 YAML、JSON、ENV、INI 以及二进制格式的文件。其主要目标是使敏感信息(例如配置文件、凭证、密钥等)的管理变得简单、安全且可自动化。SOPS 的设计旨在与 Git 等版本控制系统一起使用,允许安全地存储和传输加密文件。
runbook:使用SOPS将敏感数据保存在Runbook中的示例
04-02
运行手册 安装SOPS brew sops install 遵循以下教程: sops secrets.env # edit in vim to create production_bosh_ip vim nats.md # write run book 然后提交并推送 运行Runbook sops exec-env secrets.env 'bash' ... $ echo credhub generate -n /toolingbosh/productionbosh/uaa_ssl -t certificate --ca /toolingbosh/productionbosh/default_ca --common-name ${production_bosh_ip} --alternative-name production-bosh-bosh-director --altern
sops-decrypt:GitHub动作来解密sops加密文件
03-16
SOPS解密动作 GitHub动作,可用于解密SOPS加密文件。 输入项 version 必须用于解密文件的SOPS二进制文件的必需版本 file 必须解密的SOPS加密文件的相对路径 gpg_key 必需的可以对文件进行解密的Base64编码的专用GPG密钥 output_type 默认值:json 解密后的机密应转换为的格式。 支持的格式为json , yaml , dotenv 。 产出 data 选定格式的解密数据 用法示例 jobs : decrypt-secrets : runs-on : ubuntu steps : - uses : metro-digital/sops-decrypt with : version : ' 3.6.1 ' file : ' ci/secre
使用 Mozilla SOPS 加密您的 Kubernetes Secret
u012516914的专栏
08-08 587
默认情况下,Kubernetes Secret(机密信息)以 base64 编码存储在YAML文件中。因为信息缺乏加密通常会导致如何安全地存储秘密的问题。当然您也不想将敏感的配置数据放入 ...
探索SOPS加密文件管理的新纪元
gitblog_00062的博客
08-06 1063
探索SOPS加密文件管理的新纪元 sopsSOPS(Secret Operations)是一个开源的加密和密钥管理工具,用于保护敏感数据的传输和存储。 - 功能:加密;密钥管理;敏感数据保护;Kubernetes集成。 - 特点:易于使用;支持多种加密算法;与Kubernetes集成;支持多种云供应商。项目地址:https://gitcode.com/gh_mirrors/so/sop...
DevOps - (3)使用SOPSTerraform加密/解密敏感信息文件
xcswswswws的博客
05-31 1144
每个人都想将自己的敏感数据以加密格式存储在一个安全的地方。例如我们的数据库的账号密码,不能以纯文本的方式来记录。让我们利用Mozilla SOPS以一种安全的方式实现它。SOPS支持将文件加密为二进制文件,除此之外,它还具有只加密配置文件值的特性,只要它们是正确的格式,如JSON、YAML、.env或.ini。SOPS是一个加密文件编辑器,支持YAML, JSON, ENV, INI和BINARY格式,并可以通过AWS KMS, GCP KMS, Azure密钥库、PGP、age等加密
SOPS:用于管理机密的简单灵活的工具-开源
08-07
sops加密文件的编辑器,支持 YAML、JSON、ENV、INI 和 BINARY 格式,并使用 AWS KMS、GCP KMS、Azure Key Vault、age 和 PGP 进行加密。 对于冒险的、不稳定的功能,您可以从源代码安装开发分支。 要将 sops 用作库,请查看解密包。 我们在 Go 中重写了 Sops 来解决一些部署问题,但是 Python 分支仍然存在于 python-sops 下。 我们会继续维护一段时间,您仍然可以 pip install sops,但我们强烈建议您改用 Go 版本。 如果您使用 AWS KMS,请在 IAM 控制台中创建一个或多个主密钥,并将它们以逗号分隔的形式导出到 SOPS_KMS_ARN 环境变量中。 建议在不同地区至少使用两个主密钥。 如果要使用 PGP,请在 SOPS_PGP_FP 环境变量中导出公钥的指纹(以逗号分隔)。
GitHub动作实现sops加密文件解密的指南
资源摘要信息:"sops-decrypt:GitHub动作来解密sops加密文件" 知识点: 1. sops介绍: sops是一个用于加密和解密文件的工具,特别适用于敏感数据的安全存储。它可以使用多种密钥,包括AWS KMS、GCP KMS、Azure Key ...
SOPS加密技术在Runbook中安全存储敏感数据的应用案例
在命令中使用了变量`production_bosh_ip`,这可能是一个之前通过SOPS加密的环境变量。 总结而言,本文档展示了如何在Runbook中整合SOPS,确保敏感数据的安全处理,同时介绍了如何使用CredHub等工具来生成和管理证书...
Terraform Provider Sops加密文件的高效管理
- **Sops加密文件的使用示例**: 展示了一个使用SOPS加密文件的例子,说明了如何通过SOPS命令行工具对文件进行加密。 #### 标签知识点 - **Terraform Provider sops**: 这是一个特定的Terraform Provider,用于与...
使用SOPS和git钩子共享秘密-第2部分
weixin_26722031的博客
08-01 389
到目前为止我们所做的 (What we have done so far) In part 1, we have set up our repository to use Mozilla SOPS to encrypt secret files before commit. But the encryption/decryption process still relies on human i...
Kustomize-SopsSecretGenerator 使用教程
gitblog_01051的博客
09-10 407
Kustomize-SopsSecretGenerator 使用教程 kustomize-sopssecretgeneratorKustomize generator plugin that generates Secrets from sops-encrypted files项目地址:https://gitcode.com/gh_mirrors/ku/kustomize-sopssecretg...
推荐项目:SOPS – 密钥操作的卓越之选
gitblog_00493的博客
08-15 362
推荐项目:SOPS – 密钥操作的卓越之选 sopsSimple and flexible tool for managing secrets项目地址:https://gitcode.com/gh_mirrors/sop/sops 一、项目介绍 SOPS(Secrets Operations)是一个功能强大的加密文件编辑器,支持YAML, JSON, ENV, INI和二进制格式。它利用了业界领...
sops的配置过程
weixin_30565327的博客
08-23 279
0.demo关键 1.关键信息,不能用5.1.6版本的,还有很多坑 蓝鲸版本:4.1.6 标准运维:bk_sops_V3.1.39.tar 2.简单理解: 标准运维实际上调用作业平台job的API去执行 要跑通标准运维,可以先在job上跑通,比如设置在远程服务器执行的用户 3.参考官方文档:https://docs.bk.tencent.com/bkc...
探索Kustomize-SOPS:更安全的 Kubernetes 配置管理神器
gitblog_00082的博客
04-16 451
探索Kustomize-SOPS:更安全的 Kubernetes 配置管理神器 kustomize-sopsKSOPS - A Flexible Kustomize Plugin for SOPS Encrypted Resources项目地址:https://gitcode.com/gh_mirrors/ku/kustomize-sops 在 Kubernetes 生态中,管理和保护敏感信息一...
探索高效安全的秘钥管理:SOPS Secrets OPerationS 开源项目解析与应用
gitblog_00062的博客
05-25 437
探索高效安全的秘钥管理:SOPS Secrets OPerationS 开源项目解析与应用 sops-secrets-operator Kubernetes SOPS secrets operator 项目地址: https://gitcode.com/gh_mi...
Kubernetes 模式第二版(三)
最新发布
龙哥盟
01-06 906
metadata:...服务账户的名称。指示是否默认将服务账户令牌挂载到 Pod 中的标志。默认设置为true。ServiceAccount 具有简单的结构,并为 Pod 在与 Kubernetes API 服务器通信时所需的所有身份相关信息提供服务。每个命名空间都有一个默认的 ServiceAccount,名称为default,用于标识未定义关联 ServiceAccount 的任何 Pod。每个 ServiceAccount 都有一个与之关联的 JWT,完全由 Kubernetes 后端管理。
FairwindsOps/goldilocks 开源项目安装与使用指南
gitblog_00696的博客
08-07 901
FairwindsOps/goldilocks 开源项目安装与使用指南 goldilocksGet your resource requests "Just Right"项目地址:https://gitcode.com/gh_mirrors/go/goldilocks 目录结构及介绍 在克隆或下载 FairwindsOps/goldilocks 项目之后, 其主要目录结构如下: cmd/: 包...
Kubernetes SOPS 秘密操作器使用指南
gitblog_00919的博客
09-15 768
Kubernetes SOPS 秘密操作器使用指南 sops-secrets-operator Kubernetes SOPS secrets operator 项目地址: https://gitcode.com/gh_mirro...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值