DevOps - (3)使用SOPS 和Terraform来加密/解密敏感信息文件

最新推荐文章于 2024-09-10 08:30:13 发布
最新推荐文章于 2024-09-10 08:30:13 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: DevOps 文章标签: terraform 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xcswswswws/article/details/130962490
版权
文章介绍了如何使用Mozilla的SOPS工具来加密敏感数据,如数据库密码,支持YAML、JSON等多种格式。SOPS可通过AWSKMS、GCPKMS等服务进行加密。在Windows上,使用choco安装age和sops。文章还展示了如何在本地加密文件,以及如何在Terraform中集成SOPS来读取加密文件并将其作为变量使用。
摘要由CSDN通过智能技术生成

一:背景

每个人都想将自己的敏感数据以加密格式存储在一个安全的地方。例如我们的数据库的账号密码,不能以纯文本的方式来记录。让我们利用Mozilla SOPS以一种安全的方式实现它。SOPS支持将文件加密为二进制文件,除此之外,它还具有只加密配置文件值的特性,只要它们是正确的格式,如JSON、YAML、.env或.ini。

SOPS是一个加密文件编辑器,支持YAML, JSON, ENV, INI和BINARY格式,并可以通过AWS KMS, GCP KMS, Azure密钥库、PGP、age等加密。

sops官方github https://github.com/mozilla/sops

二:安装

确定以下的前提条件都以满足

1)安装terraform

Install | Terraform | HashiCorp Developer

2)安装age

你可以在这里GitHub - FiloSottile/age: A simple, modern and secure encryption tool (and Go library) with small explicit keys, no config options, and UNIX-style composability.的readme中找到适合您系统的安装方式。

我是通过choco在windons系统上进行安装的。

通过age-keygen -o key.txt 命令产生一个public key”SOPS_AGE_RECIPIENTS"和private key"SOPS_AGE_KEY", 你可以找到这两个值在你当前目录下的key.txt文件中。

3)安装sops

 你可以在这里Releases · mozilla/sops · GitHub的readme中找到适合您系统的安装方式。

我在windons上还是使用的choco install sops进行的安装

sops/README.rst at master · mozilla/sops · GitHub 这里可以查看age加密方式的一些说明

二:本地加密及测试

以下流程描述了如何在本地local进行加密

export SOPS_AGE_RECIPIENTS=xxxx ##在key.txt中

export SOPS_AGE_KEY=xxxxx ##在key.txt中

例如我有一个examplefile-sensitive.yaml的文件内容如下

mysql_accout: root

mysql_password: adasdsewqweqwasd!@3

加密

sops --e  examplefile-sensitive.yaml> examplefile-sensitive.enc.yaml

解密

sops -d examplefile-sensitive.enc.yaml >examplefile-sensitive.yaml

三:sops与terraform的集成

在terraform中引用sops,可以参照GitHub - carlpett/terraform-provider-sops: A Terraform provider for reading Mozilla sops files

terraform {
  required_providers {
    sops = {
      source = "carlpett/sops"
      version = "~> 0.7.0"
    }
  }
}

可以在terraform的官网看一下sops_file(即你的加密文件)的写法Terraform Registry

data "sops_file" "demo-secret" {
  source_file = "demo-secret.enc.json"
}

您可以通过以下的方式来将敏感信息上传并存储到terraform 的variable中

resource "tfe_variable" "example" {
  for_each        = nonsensitive(toset([for k, v in data.sops_file.example_file.data : k]))
  key             = each.key
  value           = data.sops_file.example_file.data[each.key]
  sensitive       = true
  category        = "terraform"
  variable_set_id = tfe_variable_set.example_workspace.id
}

 当然我们需要在terraform的variable中手动先配置变量SOPS_AGE_KEY

Proficloud&Greenpro
关注
专栏目录
sops-decrypt:GitHub动作来解密sops加密文件
03-16
SOPS解密动作 GitHub动作,可用于解密SOPS加密文件。 输入项 version 必须用于解密文件SOPS二进制文件的必需版本 file 必须解密SOPS加密文件的相对路径 gpg_key 必需的可以对文件进行解密的Base64编码的专用GPG密钥 output_type 默认值:json 解密后的机密应转换为的格式。 支持的格式为json , yaml , dotenv 。 产出 data 选定格式的解密数据 用法示例 jobs : decrypt-secrets : runs-on : ubuntu steps : - uses : metro-digital/sops-decrypt with : version : ' 3.6.1 ' file : ' ci/secre
azure-devops-aks-kubernetes-terraform-pipeline:使用Azure DevOps管道设置AKS群集
03-10
7. **变量和 secrets**:管理Terraform变量和敏感信息,如Azure订阅凭据,可以使用Azure Key Vault集成。 在文件名称列表"azure-devops-aks-kubernetes-terraform-pipeline-master"中,我们可以推测这是一个包含...
使用 Mozilla SOPS 加密您的 Kubernetes Secret
u012516914的专栏
08-08 555
默认情况下,Kubernetes Secret(机密信息)以 base64 编码存储在YAML文件中。因为信息缺乏加密通常会导致如何安全地存储秘密的问题。当然您也不想将敏感的配置数据放入 ...
Kustomize-SopsSecretGenerator 使用教程
gitblog_01051的博客
09-10 350
Kustomize-SopsSecretGenerator 使用教程 kustomize-sopssecretgeneratorKustomize generator plugin that generates Secrets from sops-encrypted files项目地址:https://gitcode.com/gh_mirrors/ku/kustomize-sopssecretg...
sops加密+aws
weixin_43484225的博客
05-26 1165
sops加密参考:https://blog.csdn.net/xcswswswws/article/details/130962490使用age加密使用其他加密方式,见https://www.jianshu.com/p/d66909e4915b1.安装ageage是一个简单,现代和安全的文件加密工具,格式和Go库。它具有显式小键、无配置选项和unix风格的可组合性。1.1安装choco包管理器。
使用SOPS和git钩子共享秘密-第2部分
weixin_26722031的博客
08-01 359
到目前为止我们所做的 (What we have done so far) In part 1, we have set up our repository to use Mozilla SOPS to encrypt secret files before commit. But the encryption/decryption process still relies on human i...
推荐项目:SOPS – 密钥操作的卓越之选
gitblog_00493的博客
08-15 300
推荐项目:SOPS – 密钥操作的卓越之选 sopsSimple and flexible tool for managing secrets项目地址:https://gitcode.com/gh_mirrors/sop/sops 一、项目介绍 SOPS(Secrets Operations)是一个功能强大的加密文件编辑器,支持YAML, JSON, ENV, INI和二进制格式。它利用了业界领...
devops-master-class:Devops初学者教程-学习Docker,Kubernetes,Terraform,Ansible,Jenkins和Azure Devops
02-03
Master Devops-Docker,Kubernetes,Terraform和Azure Devops 通过Docker,Kubernetes,Terraform,Ansible,Jenkins和Azure Devops学习Devops 管道项目Github存储库 Azure Devops- 詹金斯-https: 课程介绍 200多...
azure-devops-terraform:通过Azure DevOpsTerraform部署Azure基础结构的食谱
01-29
标题中的“azure-devops-terraform”表明这是一份关于如何使用Azure DevOpsTerraform协同工作来部署Azure基础设施的教程或指南。Azure DevOps是微软提供的一个全面的DevOps平台,而Terraform则是HashiCorp公司的...
devops-test:DevOps部署测试-Docker,Terraform和Vault
04-21
该项目的目标是让应聘者演示采用标准Web应用程序并生成部署所需的适当文件(Docker / Terraform文件的能力。 此外,提供有关如何从Vault或某些其他机密机制中检索秘密凭证(例如数据库url)的方法(以代码或书面...
terraform-provider-sops:Terraform提供程序,用于读取Mozilla的sops文件
05-01
地貌 Terraform插件,用于使用通过加密文件。 注意:为了防止将纯文本机密写入磁盘,必须设置安全的远程状态后端。 有关更多信息,请参阅状态敏感数据的。 例子 注意:所有示例均假定使用Terraform 0.13或更高版本。 有关旧版本使用情况的信息,请参阅。 使用Sops加密文件sops demo-secret.enc.json { " password " : " foo " , " db " : { " password " : " bar " } } sops_file terraform { required_providers { sops = { source = " carlpett/sops " version = " ~> 0.5 " } } } provider " sops " {} data
terraform-sops-demo:我在DevOps Boulder上发表演讲的一个简单示例,介绍了Terraform中的mozillasops和用法
04-18
terraform-sops-demo Terraform中的及其用法的简单演示。 这是我在4/19/21举行上的简短演讲。 。 运行此代码... 你不能不幸 :beaming_face_with_smiling_eyes: 。 利用sops获取我们存储在secrets.yaml的“秘密”值的全部要点是,您需要有权访问我的AWS账户的KMS密钥才能解密这些秘密。 因此,如果您尝试在本项目中运行terraform plan ,则sops提供程序( )将失败,因为它无法解密这些秘密值。 如果您想尝试,那么我们将不胜感激! 您需要执行以下操作: 从本地工作目录中删除secrets.yaml文件 利用使用您自己的AWS KMS密钥或PGP密钥创建一个新的密钥: sops --kms arn:aws:kms: < REGION> : < ACCOUNT> :key/ < KMS> secrets.yaml 运行terr
SOPS:用于管理机密的简单灵活的工具-开源
08-07
sops加密文件的编辑器,支持 YAML、JSON、ENV、INI 和 BINARY 格式,并使用 AWS KMS、GCP KMS、Azure Key Vault、age 和 PGP 进行加密。 对于冒险的、不稳定的功能,您可以从源代码安装开发分支。 要将 sops 用作库,请查看解密包。 我们在 Go 中重写了 Sops 来解决一些部署问题,但是 Python 分支仍然存在于 python-sops 下。 我们会继续维护一段时间,您仍然可以 pip install sops,但我们强烈建议您改用 Go 版本。 如果您使用 AWS KMS,请在 IAM 控制台中创建一个或多个主密钥,并将它们以逗号分隔的形式导出到 SOPS_KMS_ARN 环境变量中。 建议在不同地区至少使用两个主密钥。 如果要使用 PGP,请在 SOPS_PGP_FP 环境变量中导出公钥的指纹(以逗号分隔)。
azure-devops-kubernetes-terraform-pipeline
03-29
货币兑换微服务-H2 ... 资源 { " id " : 10001 , ... 使用jdbc:h2:mem:testdb作为JDBC URL 笔记 表格创建 create table exchange_value ( id bigint not null, conversion_multiple decimal(19,2), currenc
sops的配置过程
weixin_30565327的博客
08-23 248
0.demo关键 1.关键信息,不能用5.1.6版本的,还有很多坑 蓝鲸版本:4.1.6 标准运维:bk_sops_V3.1.39.tar 2.简单理解: 标准运维实际上调用作业平台job的API去执行 要跑通标准运维,可以先在job上跑通,比如设置在远程服务器执行的用户 3.参考官方文档:https://docs.bk.tencent.com/bkc...
探索高效安全的秘钥管理:SOPS Secrets OPerationS 开源项目解析与应用
gitblog_00062的博客
05-25 402
探索高效安全的秘钥管理:SOPS Secrets OPerationS 开源项目解析与应用 sops-secrets-operator Kubernetes SOPS secrets operator 项目地址: https://gitcode.com/gh_mi...
探索SOPS加密文件管理的新纪元
gitblog_00062的博客
08-06 969
探索SOPS加密文件管理的新纪元 sopsSOPS(Secret Operations)是一个开源的加密和密钥管理工具,用于保护敏感数据的传输和存储。 - 功能:加密;密钥管理;敏感数据保护;Kubernetes集成。 - 特点:易于使用;支持多种加密算法;与Kubernetes集成;支持多种云供应商。项目地址:https://gitcode.com/gh_mirrors/so/sop...
探索Kustomize-SOPS:更安全的 Kubernetes 配置管理神器
gitblog_00082的博客
04-16 421
探索Kustomize-SOPS:更安全的 Kubernetes 配置管理神器 kustomize-sopsKSOPS - A Flexible Kustomize Plugin for SOPS Encrypted Resources项目地址:https://gitcode.com/gh_mirrors/ku/kustomize-sops 在 Kubernetes 生态中,管理和保护敏感信息一...
https://gateway-int-zk-uat.zeekrlife-test.com/product-devops-backend/pdo/defectManagement/selectOne/66 自动化脚本怎么写python
最新发布
10-24
要为这样的接口编写Python自动化脚本,通常需要使用requests库来发送HTTP请求,并处理JSON响应。以下是一个简单的例子: ```python import requests # API endpoint URL url = ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Proficloud&Greenpro

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值