DevOps - (3)使用SOPS 和Terraform来加密/解密敏感信息文件

最新推荐文章于 2024-05-26 22:59:50 发布
最新推荐文章于 2024-05-26 22:59:50 发布
阅读量900 收藏 2
点赞数 1
分类专栏: DevOps 文章标签: terraform 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xcswswswws/article/details/130962490
版权

一:背景

每个人都想将自己的敏感数据以加密格式存储在一个安全的地方。例如我们的数据库的账号密码,不能以纯文本的方式来记录。让我们利用Mozilla SOPS以一种安全的方式实现它。SOPS支持将文件加密为二进制文件,除此之外,它还具有只加密配置文件值的特性,只要它们是正确的格式,如JSON、YAML、.env或.ini。

SOPS是一个加密文件编辑器,支持YAML, JSON, ENV, INI和BINARY格式,并可以通过AWS KMS, GCP KMS, Azure密钥库、PGP、age等加密。

sops官方github https://github.com/mozilla/sops

二:安装

确定以下的前提条件都以满足

1)安装terraform

Install | Terraform | HashiCorp Developer

2)安装age

你可以在这里GitHub - FiloSottile/age: A simple, modern and secure encryption tool (and Go library) with small explicit keys, no config options, and UNIX-style composability.的readme中找到适合您系统的安装方式。

我是通过choco在windons系统上进行安装的。

通过age-keygen -o key.txt 命令产生一个public key”SOPS_AGE_RECIPIENTS"和private key"SOPS_AGE_KEY", 你可以找到这两个值在你当前目录下的key.txt文件中。

3)安装sops

 你可以在这里Releases · mozilla/sops · GitHub的readme中找到适合您系统的安装方式。

我在windons上还是使用的choco install sops进行的安装

sops/README.rst at master · mozilla/sops · GitHub 这里可以查看age加密方式的一些说明

二:本地加密及测试

以下流程描述了如何在本地local进行加密

export SOPS_AGE_RECIPIENTS=xxxx ##在key.txt中

export SOPS_AGE_KEY=xxxxx ##在key.txt中

例如我有一个examplefile-sensitive.yaml的文件内容如下

mysql_accout: root

mysql_password: adasdsewqweqwasd!@3

加密

sops --e  examplefile-sensitive.yaml> examplefile-sensitive.enc.yaml

解密

sops -d examplefile-sensitive.enc.yaml >examplefile-sensitive.yaml

三:sops与terraform的集成

在terraform中引用sops,可以参照GitHub - carlpett/terraform-provider-sops: A Terraform provider for reading Mozilla sops files

terraform {
  required_providers {
    sops = {
      source = "carlpett/sops"
      version = "~> 0.7.0"
    }
  }
}

可以在terraform的官网看一下sops_file(即你的加密文件)的写法Terraform Registry

data "sops_file" "demo-secret" {
  source_file = "demo-secret.enc.json"
}

您可以通过以下的方式来将敏感信息上传并存储到terraform 的variable中

resource "tfe_variable" "example" {
  for_each        = nonsensitive(toset([for k, v in data.sops_file.example_file.data : k]))
  key             = each.key
  value           = data.sops_file.example_file.data[each.key]
  sensitive       = true
  category        = "terraform"
  variable_set_id = tfe_variable_set.example_workspace.id
}

 当然我们需要在terraform的variable中手动先配置变量SOPS_AGE_KEY

Proficloud&Greenpro
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
sops-decrypt:GitHub动作来解密sops加密文件
03-16
SOPS解密动作 GitHub动作,可用于解密SOPS加密文件。 输入项 version 必须用于解密文件SOPS二进制文件的必需版本 file 必须解密SOPS加密文件的相对路径 gpg_key 必需的可以对文件进行解密的Base64编码的专用GPG密钥 output_type 默认值:json 解密后的机密应转换为的格式。 支持的格式为json , yaml , dotenv 。 产出 data 选定格式的解密数据 用法示例 jobs : decrypt-secrets : runs-on : ubuntu steps : - uses : metro-digital/sops-decrypt with : version : ' 3.6.1 ' file : ' ci/secre
terraform-provider-sops:Terraform提供程序,用于读取Mozilla的sops文件
05-01
地貌 Terraform插件,用于使用通过加密文件。 注意:为了防止将纯文本机密写入磁盘,必须设置安全的远程状态后端。 有关更多信息,请参阅状态敏感数据的。 例子 注意:所有示例均假定使用Terraform 0.13或更高版本。 有关旧版本使用情况的信息,请参阅。 使用Sops加密文件sops demo-secret.enc.json { " password " : " foo " , " db " : { " password " : " bar " } } sops_file terraform { required_providers { sops = { source = " carlpett/sops " version = " ~> 0.5 " } } } provider " sops " {} data
使用 Mozilla SOPS 加密您的 Kubernetes Secret
u012516914的专栏
08-08 522
默认情况下,Kubernetes Secret(机密信息)以 base64 编码存储在YAML文件中。因为信息缺乏加密通常会导致如何安全地存储秘密的问题。当然您也不想将敏感的配置数据放入 ...
探索高效安全的秘钥管理:SOPS Secrets OPerationS 开源项目解析与应用
gitblog_00062的博客
05-25 344
探索高效安全的秘钥管理:SOPS Secrets OPerationS 开源项目解析与应用 项目地址:https://gitcode.com/isindir/sops-secrets-operator 在现代云原生环境中,安全管理尤其是秘钥管理是至关重要的。SOPS(Secrets OPerationS)是一个出色的Kubernetes Operator,它能帮助您轻松管理和加密敏感数据。让我们深...
terraform-sops-demo:我在DevOps Boulder上发表演讲的一个简单示例,介绍了Terraform中的mozillasops和用法
04-18
terraform-sops-demo Terraform中的及其用法的简单演示。 这是我在4/19/21举行上的简短演讲。 。 运行此代码... 你不能不幸 :beaming_face_with_smiling_eyes: 。 利用sops获取我们存储在secrets.yaml的“秘密”值的全部要点是,您需要有权访问我的AWS账户的KMS密钥才能解密这些秘密。 因此,如果您尝试在本项目中运行terraform plan ,则sops提供程序( )将失败,因为它无法解密这些秘密值。 如果您想尝试,那么我们将不胜感激! 您需要执行以下操作: 从本地工作目录中删除secrets.yaml文件 利用使用您自己的AWS KMS密钥或PGP密钥创建一个新的密钥: sops --kms arn:aws:kms: < REGION> : < ACCOUNT> :key/ < KMS> secrets.yaml 运行terr
azure-devops-aks-kubernetes-terraform-pipeline:使用Azure DevOps管道设置AKS群集
03-10
7. **变量和 secrets**:管理Terraform变量和敏感信息,如Azure订阅凭据,可以使用Azure Key Vault集成。 在文件名称列表"azure-devops-aks-kubernetes-terraform-pipeline-master"中,我们可以推测这是一个包含...
azure-devops-terraform:通过Azure DevOpsTerraform部署Azure基础结构的食谱
01-29
标题中的“azure-devops-terraform”表明这是一份关于如何使用Azure DevOpsTerraform协同工作来部署Azure基础设施的教程或指南。Azure DevOps是微软提供的一个全面的DevOps平台,而Terraform则是HashiCorp公司的...
terraform-aws-devops:有关许多Terraform,AWS和DevOps项目的信息
01-30
从压缩包文件名称“terraform-aws-devops-master”来看,这很可能是一个GitHub仓库的克隆,其中包含的是主分支的源代码或配置文件。在解压后,用户可以期待找到一系列Terraform配置文件(通常为.tf扩展名),这些...
azure-devops-kubernetes-terraform-pipeline
03-29
标题中的“azure-devops-kubernetes-terraform-pipeline”揭示了我们即将探讨的是一个结合了Azure DevOps、Kubernetes和Terraform的自动化部署管道。这是一个现代云原生应用开发的关键组成部分,它允许开发者高效地...
devops-master-class:Devops初学者教程-学习Docker,Kubernetes,Terraform,Ansible,Jenkins和Azure Devops
02-03
Master Devops-Docker,Kubernetes,Terraform和Azure Devops 通过Docker,Kubernetes,Terraform,Ansible,Jenkins和Azure Devops学习Devops 管道项目Github存储库 Azure Devops- 詹金斯-https: 课程介绍 200多...
SOPS:用于管理机密的简单灵活的工具-开源
08-07
sops加密文件的编辑器,支持 YAML、JSON、ENV、INI 和 BINARY 格式,并使用 AWS KMS、GCP KMS、Azure Key Vault、age 和 PGP 进行加密。 对于冒险的、不稳定的功能,您可以从源代码安装开发分支。 要将 sops 用作库,请查看解密包。 我们在 Go 中重写了 Sops 来解决一些部署问题,但是 Python 分支仍然存在于 python-sops 下。 我们会继续维护一段时间,您仍然可以 pip install sops,但我们强烈建议您改用 Go 版本。 如果您使用 AWS KMS,请在 IAM 控制台中创建一个或多个主密钥,并将它们以逗号分隔的形式导出到 SOPS_KMS_ARN 环境变量中。 建议在不同地区至少使用两个主密钥。 如果要使用 PGP,请在 SOPS_PGP_FP 环境变量中导出公钥的指纹(以逗号分隔)。
sops加密+aws
最新发布
weixin_43484225的博客
05-26 1099
sops加密参考:https://blog.csdn.net/xcswswswws/article/details/130962490使用age加密使用其他加密方式,见https://www.jianshu.com/p/d66909e4915b1.安装ageage是一个简单,现代和安全的文件加密工具,格式和Go库。它具有显式小键、无配置选项和unix风格的可组合性。1.1安装choco包管理器。
探索Kustomize-SOPS:更安全的 Kubernetes 配置管理神器
gitblog_00082的博客
04-16 378
探索Kustomize-SOPS:更安全的 Kubernetes 配置管理神器 项目地址:https://gitcode.com/viaduct-ai/kustomize-sops 在 Kubernetes 生态中,管理和保护敏感信息一直是一项挑战。Kustomize-SOPS 是一个针对这一问题的解决方案,它将 Kustomize,Kubernetes 的强大配置工具,与 SOPS,一种用于加密...
使用SOPS和git钩子共享秘密-第2部分
weixin_26722031的博客
08-01 342
到目前为止我们所做的 (What we have done so far) In part 1, we have set up our repository to use Mozilla SOPS to encrypt secret files before commit. But the encryption/decryption process still relies on human i...
使用甲壳素的声明式秘密管理
weixin_26739079的博客
10-12 341
In this post I would like to compare different ways to manage secrets in code, especially relevant to Kubernetes but also in general with a more broad reach.在这篇文章中,我想比较一下管理代码秘密的不同方法,特别是与Kubernetes有关的方...
从Jenkins迁移到Jenkins X:一场持续交付之旅\n
cpongo011702
09-21 315
这篇文章将介绍dailymotion(一家总部位于巴黎的视频分享网站)从Jenkins迁移到Jenkins X的故事,包括我们遇到的问题以及我们如何解决它们。背景在dailymotion,我们信奉DevOps最佳实践,并且重度使用了Kubernetes。我们的部分产品(并非全部)已经部署在Kubernetes上。在迁移我们的广告技术平台时,为了赶时髦(作者你这么直白的吗?)我们希望完全采用“Kub...
Terraform 学习总结(10)—— 阿里云平台 Terraform 代码开发技巧总结
科技D人生
10-09 1224
Terraform 是一个开源的自动化资源编排工具。资源编排服务 ROS(Resource Orchestration Service)为 Terraform 提供了托管的能力。当您了解了 TerraformTerraform 托管方式,需要开发 Terraform 代码并在 ROS 中使用时,可以采用本文介绍的开发方式和开发建议。
mysql 切割'https://gitee.web.guosen.com.cn/devops/pipeline/devops-pipeline-shared-library.git' https://gitee.web.guosen.com.cn 之后 第一个//之间的内容
03-02
在给你介绍MySQL切割字符串之前,我需要先纠正一你提供的示链接。这个链接并不是一个MySQL字符串,而是一个URL链接。MySQL是一种关系型数据库管理系统,它并不直接提供字符串切割的功能。但是,我们可以使用MySQL的内置函数来实现字符串切割。 如果你想要在MySQL中切割字符串,可以使用SUBSTRING_INDEX函数。SUBSTRING_INDEX函数可以根据指定的分隔符将字符串切割成多个部分,并返回指定部分的结果。 对于你提供的示例链接"https://gitee.web.guosen.com.cn/devops/pipeline/devops-pipeline-shared-library.git",如果你想要获取第一个'/'之前的内容,可以使用以下SQL语句: SELECT SUBSTRING_INDEX('https://gitee.web.guosen.com.cn/devops/pipeline/devops-pipeline-shared-library.git', '/', 1); 这将返回"https:"作为结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Proficloud&Greenpro

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值