如何从CF中的另一个模板中检索秘密管理器名称?
从CF(CloudFormation)中的另一个模板中检索秘密管理器名称可以通过使用AWS Systems Manager Parameter Store来实现。AWS Systems Manager Parameter Store是一种用于存储和管理配置数据、API密钥、密码和其他秘密的安全服务。
在CloudFormation模板中,可以使用AWS Systems Manager Parameter Store的参数引用功能来检索秘密管理器名称。参数引用使用特殊的语法${parameter_name},其中parameter_name是在Parameter Store中定义的参数名称。
以下是一个示例CloudFormation模板,演示如何从另一个模板中检索秘密管理器名称:
Resources:
MySecretManager:
Type: AWS::SecretsManager::Secret
Properties:
Name: !Ref SecretName
Description: My secret manager
SecretString: !Sub |
{
"username": "${MyParameter}"
}
MyParameter:
Type: AWS::SSM::Parameter
Properties:
Name: /myapp/secret/username
Type: String
Value: admin在上述示例中,MySecretManager是一个AWS Secrets Manager的资源,它引用了MyParameter参数。MyParameter是一个AWS SSM Parameter的资源,它定义了参数名称为/myapp/secret/username,类型为String,并设置了默认值为admin。
通过这种方式,可以在CloudFormation模板中检索秘密管理器名称,并将其用于其他资源的配置中。
推荐的腾讯云相关产品:腾讯云密钥管理系统(Key Management System,KMS)
腾讯云密钥管理系统(KMS)是一种安全且易于使用的密钥管理服务,可帮助您轻松创建和控制加密密钥,以保护您在腾讯云上的数据和应用程序。KMS提供了一种集中式的方式来管理密钥,包括生成、存储、轮换和撤销密钥等功能。您可以使用KMS来保护敏感数据、加密存储在云中的数据、加密通信等。
腾讯云KMS的产品介绍链接地址:腾讯云密钥管理系统(KMS)
相关·内容
我一直在跟踪来自AWS的官方文档,内容涉及如何将秘密存储在SAM template.yaml文件中的秘密管理器中,下面是我所做的工作:
Environment:
Variables:
DUMMY_VARIABLE: '{{resolve:secretsmanager:dummy/secret:SecretString:key1}}'
一切正常,我可以看到秘密正在被检索,但是,如果我在秘密管理器中更改秘密值,并通过sam deploy命令重新部署Lambda函数,则来自秘密管理器的环境变量的值将保持不变。
我没有指定版本阶段,也没有指定版本i
浏览 2提问于2021-06-27得票数 2
回答已采纳
2回答
我无法在bitbucket部署的应用程序中检索代码中访问的环境变量。当我的应用程序启动时,我想获取db uri,如:const uri = process.env.MONGODB_CONNECTION_URI;
每当我从本地构建并推送工件时,我的环境变量就会成功地从我的机器上本地存储的..env文件中传递出来。显然,我不想提交这个文件。
当我使用Bitbucket管道将我的应用程序部署到GCP时。我能够成功地将一个新的工件推送到GCP。但是在应用程序启动时,它无法检索我的db-uri。
文章非常接近于描述我想要实现的目标,但我看不出这如何解决这样一个事实,即属性值是一个实际的秘密,我无法将其提
浏览 10提问于2021-09-24得票数 2
回答已采纳
我有一个CF模板,里面有一个简单的秘密,如下所示:
Credentials:
Type: 'AWS::SecretsManager::Secret'
Properties:
Name: !Sub ${ProjectKey}.${StageName}.${ComponentId}.credentials
Description: client credentials
SecretString: !Sub
'{"client_id":"${ClientId}","client_
浏览 2提问于2019-01-07得票数 0
回答已采纳
我正在将web服务从一个Kubernetes集群移动到另一个集群。目标是在不中断服务的情况下做到这一点。
这在证书管理器和HTTP挑战中是很困难的,因为新集群上的证书管理器只能在DNS条目指向该集群之后才能检索证书。但是,如果我将DNS条目切换到新群集,客户端可能会在生成有效证书之前与新群集对话。这就像鸡和蛋的问题。
如何将证书管理器证书移动到新群集,以便在进行DNS切换后它已经拥有证书?
浏览 1提问于2020-12-15得票数 3
我试图在CloudFormation中创建一个AWS堆栈,在JSON中有一个秘密。
我不希望参数中显示秘密的值,也不希望我的实例(fargate或ec2)访问机密管理器。我希望CloudFormation从机密管理器中检索值,并在运行时将其注入模板中。
我就是这样做的:
创造一个秘密
使用设计器创建模板
阅读秘密并创建一个资源。在这种情况下,我创建了一个具有秘密标记的桶。我知道这是不安全的,但水桶被用作概念的证明。
验证桶包含一个带有秘密的标记。
这是我的模板:
{
"AWSTemplateFormatVersion": "2010-09
浏览 1提问于2019-06-18得票数 5
回答已采纳
2回答
在如何管理秘密和密码方面有根本的差异吗?
我对秘密管理器和密码管理器之间的技术/密码差异感到好奇。如果我对此很有哲理,那么对我来说,主要的区别在于,秘密管理器提供软件,以便其他软件程序能够在运行时检索敏感信息(但通常仍然提供保存秘密的方法),而密码管理器是一个应用程序,当一个人想以某种方式使用它时,它会检索敏感信息。
浏览 0提问于2023-01-03得票数 0
我有一个从SAM模板创建的lambda函数,它需要调用密钥管理器来获取第三方密钥。由于我希望将所有内容保存在公共GitHub中,所以我尽量将公开的信息保持在最低限度,这就是为什么添加到管理器中的初始秘密是空的,理论上,每次我重新创建这个SAM时,我都会手动更新这个值。我的lambda函数没有权限调用getSecretValue()。我尝试了许多不同的方法来添加一个策略,但是没有什么效果。
还有其他方法可以让我的秘书求助于ARN,这样我才能把它传递给lambda政策吗?
这是在lambda上运行get (####为占位符)时在cloudwatch中遇到的错误。
"User: arn:aw
浏览 18提问于2022-10-31得票数 1
回答已采纳
嘿,伙计们,我有下面的CF配置,并希望从SecretManager中解析一个秘密。
DefinitionBackend:
Type: AWS::ECS::TaskDefinition
DependsOn: TaskPolicy
Properties:
ExecutionRoleArn: !GetAtt TaskRole.Arn
NetworkMode: awsvpc
RequiresCompatibilities:
- FARGATE
Cpu: 1024
Memory: 5120
浏览 24提问于2022-08-03得票数 0
回答已采纳
1回答
我在试着把秘密藏在天蓝色的保险库里。我使用了azure sdk apis,我可以使用这些apis成功地存储/检索。我想知道是否有可能对同一标签下的一组秘密进行分类/分组,并将它们存储在某个路径中。
我想对一个服务使用的一些秘密进行分组,将它们存储在一个存储路径中。对于其他服务,同样的方式是独立的存储路径。我找不到任何这样做的方法。在天蓝色的拱顶里这是可能的吗?
浏览 4提问于2020-04-17得票数 0
我在使用Cassandra和Astyanax客户端的Spring web应用程序中工作。我想将从Cassandra查询检索到的结果数据转换为POJO,但我不知道哪个库或Astyanax API支持这一点。
例如,我有一个具有一些基本属性(username, password, email)的User柱族( CF ),可以将其他相关信息添加到此CF中。然后,我使用OperationResult>从该CF获取一个用户行,以保存返回的数据,如下所示:
OperationResult<ColumnList<String>> columns = getKeyspace().
浏览 14提问于2013-05-31得票数 1
回答已采纳
1回答
我需要帮助解决这个场景,在这个场景中,我需要连接到不同google云项目中的多个防火墙。
现在就来。我正在使用NestJ从Firestore中检索数据。使用服务帐户生成的JSON键连接到它。
我计划让这个主要的Firestore存储数据来告诉应用程序应该连接到哪个数据库。但是,我忽略了如何切换服务帐户/JSON密钥。因为,根据我到目前为止所理解的,一个JSON键是用于一个Firestore的。我还认为存储那些JSON密钥文件不是一个好做法。
我在这里有什么可能的选择?
浏览 7提问于2022-03-16得票数 0
我有有两个集装箱的fargate的ECS服务
我有IAM角色arn:aws:iam::468589876897:role/app/my-test-app,,这个角色被添加到我的ecs task_role和execution_role中
此外,我还有一个带有path /myapp/ secret /key_1-zbv0eq的秘密,它具有如下权限
"Effect":"Deny",
"action" : "secretsmanager:getsecretvalue", "resource" : "*",
浏览 6提问于2021-05-04得票数 1
我目前正在努力完成以下任务。我不想在模板中包含我的TLS证书,因为
我不想在签入模板的同时签入代码管理中的凭据
我使用的是同一个证书的多个应用程序,我不想仅仅因为可能分发另一个证书而更新repos
现在我的方法是这样。我用詹金斯做我的建造管道。我有一个仅用于证书管理的Repo。它将在更新后运行,并将证书和私钥分发给各个集群上的Openshift秘密。
在运行应用程序的模板时,我从秘密中检索信息,并在路由中设置值。这是事情变得棘手的地方我只能使用单行值,因为
Openshift模板将不接受带有oc过程的多行参数。
秘密不会存储多行值。
所以解决办法似乎很简单。只需
浏览 0提问于2019-08-29得票数 0
回答已采纳
1回答
当运行程序试图检索资源时,我收到以下错误:
checking failed -
Expected to find variables: git
我的资源看起来类似于:
- name: resource-repo
type: git
source:
uri: https://[url]
branch: master
tag_filter: '*'
username: ((git.username))
password: ((git.password))
我的掌舵图的values.yaml包括:
rbac:
create: fal
浏览 2提问于2018-03-22得票数 2
回答已采纳
1回答
我想坚持“所有基础设施都是代码”的政策。然而,我看不到用CloudFormation来处理secrets的方法。 SecretsManager要求您以纯文本形式指定SecretString。即使您从某个地方注入一个解密的值,纯文本字符串也会显示在CF控制台的模板视图中:/ 在SSM中也不可能使用加密字符串。文档上说:“亚马逊网络服务CloudFormation不支持创建SecureString参数类型。” 真的没有办法使用CloudFormation以代码的形式安全地管理秘密吗?
浏览 19提问于2020-01-23得票数 5
回答已采纳
我们有一个用例,我们需要每9分钟生成一个API令牌,并将它存储起来供接下来的9分钟使用,我们再次生成API令牌并替换旧的令牌。这是我们在应用程序中遵循的循环。应用程序运行在AWS Lambda函数中。
问题是,我们在哪里保存这个标记9分钟,每9分钟旋转一次?我们可以保存在一个DynamoDB表中,并在我们的应用程序中检索它以获得较低的延迟,或者应该将其保存在秘密管理器中?
哪个选项可以更好地存储和检索这个用例,从而降低我的应用程序的延迟?
在我的应用程序中,我必须在一天内使用这个令牌一百万次。
浏览 6提问于2022-06-04得票数 -1
回答已采纳
我正在编写一个基本的反应原生应用程序,用户将能够将自己注册到亚马逊网络服务认知用户池,并以该身份登录,以从S3存储/检索他们的数据。我只有一个存储桶,每个用户在该存储桶中都有自己的文件夹。在这种情况下,我如何将每个用户限制在他们自己的文件夹中。这是一个场景。
我在用户池中创建了两个用户。
然后,我为我的用户池创建了一个联合身份。此联合身份具有两个IAM角色:授权和未授权。
然后,我向联合身份的身份验证角色添加了一个策略。
这是我的政策:
{
"Version": "2012-10-17",
"Statem
浏览 0提问于2017-07-03得票数 2
我需要从AWS秘密管理器中检索凭据,我发现我需要为下面的启动程序添加gradle依赖项
spring-cloud-starter-aws-secrets-manager-config
另外,我发现我需要在Bootstrap.yml中添加以下设置
我不清楚在我的Spring应用程序中,如果有人能插话的话,秘密密钥是如何访问的。
浏览 11提问于2019-05-17得票数 11
回答已采纳
我创建了一个秘密,并更新了它,使其具有lambda旋转功能
我的秘密就像
aws secretsmanager list-secret-version-ids --secret-id envir/username
{
"Versions": [
{
"VersionId": "90179cd3-daa1-48e4-9fe5-dde0a4cf22e4",
"VersionStages": [
"AWSPREVIOUS
浏览 0提问于2018-04-24得票数 22
1回答
我使用节点和github操作来编写一个简单的twitter脚本。
twitter凭据存储在github秘密中
除了硬编码twitter凭据,然后在推到github之前更改代码以使用机密之外,我如何在本地进行测试?
如果在本地运行,则需要一些方法在本地检索凭据,如果在github上运行,则需要从机密中检索凭据。
请给我什么最佳实践方法?
浏览 5提问于2022-08-16得票数 1
有没有一种方法可以使用DefaultAWSCredentialsProviderChain java类从AWS秘密存储中检索一个秘密?
如果没有,请提出一个取回它的方法?(在执行签名V4时,我需要这样做,即签署与AWS连接的请求。对于签名签名,我使用示例。但是我的秘密在can秘密管理器中,所以我如何用DefaultAWSCredentialsProviderChain)从秘密商店中检索这个秘密?
浏览 0提问于2020-02-27得票数 0
1回答
如何使用smtp_password_cmd值通过气流检索SMTP密码?
我在composer环境中添加了所有的环境变量,实习生重写了气流配置。
(请参阅此图像)
请简单了解一下在composer环境中需要添加哪些命令,这样气流就可以使用这个命令获得密码的值?
浏览 2提问于2022-09-19得票数 2
4回答
我正在使用AWS Fargate和存储机密管理器敏感数据。任务定义应该从秘密存储中获取环境变量。
- name: "app"
image: "ecr-image:tag"
essential: true
secrets:
- name: "VAR1"
valueFrom: "arn:aws:secretsmanager:us-east-1:111222333444:secret:var-one-secret"
- name: "VAR2"
valueFrom: &
浏览 0提问于2019-09-06得票数 26
回答已采纳
2回答
使用在应用程序启动时检索AWS机密。在AWS秘密管理器中定义了多个秘密之后,我无法理解如何定义多个映射来映射这些秘密。
bootstrap.yml
aws:
secretsmanager:
prefix: /secret
defaultContext: context-name
profileSeparator: _
failFast: true
name: service-name
enabled: true
pom.xml
<?xml version="1.0" encoding="UTF-8"?&
浏览 0提问于2019-07-04得票数 4
我目前正在通过谷歌的云运行平台运行一个SaaS。每个客户都有自己的API凭据,需要在使用我的程序期间进行安全存储和检索。
我想使用Google的秘密管理器作为存储这些API凭证的方法,但是我的问题是新秘密的创建和检索似乎没有扩展。在部署新的云运行版本期间,我正在将凭据作为环境变量(链接到秘密管理器机密)添加,但是我不希望每次创建新凭据时都要这样做。如果客户增加到数百人,这不是一个实际的解决方案。
我还遇到了动态检索环境变量的问题。由于在构建时不知道客户ID号,所以不可能动态检索变量,例如process.env‘’API_USER_(CustomerID)‘。
有没有一种方法可以在每次不创建新的
浏览 0提问于2022-05-31得票数 1
回答已采纳
我已经通过helm安装了,现在我想为警报管理器设置电子邮件通知:
我编辑了prometheus操作员的秘密
kubectl get secret alertmanager-prometheus-prometheus-oper-alertmanager -n monitoring -o yaml
apiVersion: v1
data:
alertmanager.yaml: Z2xvYmFsOgogIHJlc29sdmVfdGltZW91dDogNW0KcmVjZWl2ZXJzOgotIG5hbWU6ICJudWxsIgpyb3V0ZToKICBncm91cF
浏览 3提问于2020-03-23得票数 1
回答已采纳
我是Docker的新手,我想把我的Django web应用程序放到容器中。
在过去的几天里,我一直在努力把证件安全地传递到集装箱里。
在线总是有这样的提示:秘密不应该作为环境变量传递,因为它们可以通过检查或从图像中检索。我的希望是,它可以被忽略为我的设置。
设置
我提供凭据通过.env文件的码头组成。此文件不在版本控制中。
这些容器以非提升用户的身份运行(另一个特殊用户)。
主机上的Docker命令只能用作root命令。
我是主机服务器的唯一用户(Ubuntu18.04)。
我认为闯入主机要比闯入Django应用程序的容器要困难得多(我只对非根用户使用SSH公钥身份验证)。
我不想用库伯内特斯
浏览 0提问于2018-09-28得票数 4
回答已采纳
考虑一个接收HTTPS请求并使用HTTP基本身份验证的API。每当收到请求时,应用程序都需要检查标题中的用户名/密码组合是否有效。有成千上万的用户,每个人都有自己的钥匙。
我想知道Google秘密管理器是否适合这个用例。这就是:
I可以将每个API用户名/密码存储在秘密管理器中,使用用户名作为秘密ID。然后,每当请求出现时,应用程序将:(1)查找授权头中显示的用户名的凭据;(2)将头密码与从秘密管理器检索的密码进行比较;(3)如果出现不匹配的情况,则拒绝该请求。
对于上述情况,Google秘密管理器是否有效和可取?
浏览 1提问于2020-04-03得票数 2
回答已采纳
如何以编程方式从Databricks内部通过笔记本中的名称获取特定的个人访问令牌?我不需要看到令牌,我只需要能够将它传递给另一个函数。
浏览 2提问于2022-12-01得票数 0
在安装服务网格、网关和应用路由策略之后,我试图在我的Istio Ingress网关上启用HTTPS。最初的Istio安装是使用配置文件完成的,其中包括一个istio-ingressgateway服务。当我这样做时,它将入口网关创建为Kind: Service而不是Kind: Gateway。
我看了这篇文章:,但是,本教程只描述了如何将证书应用到网关类,而不是服务类。
将SSL证书应用于入口网关服务的正确方法是什么,或者是否有更好的方法来处理此问题?
谢谢你的帮忙!
编辑:问题解决了。
昨晚,我回到了教程中,在尝试创建一个clusterIssuer和安装证书管理器等过程中,结果很糟糕(由于某
浏览 0提问于2020-06-25得票数 1
回答已采纳
考虑这个CI/CD场景:
在开发阶段,我希望使用一个Ec2实例和CF中的EC2密钥对来部署我的堆栈。
从文档中我了解云形成资源,可以指向可以从AWS管理控制台创建的现有键,而不是其他方式。
我想用堆栈创建我的键,这样我就可以使用它在实例中使用ssh。我将通过env var向我的SSH提供值,因此我将是唯一知道键值的人。
有人知道这个场景的解决方案吗?
浏览 9提问于2021-02-20得票数 1
回答已采纳
这是一个愚蠢的问题,但希望在这个问题上提供任何帮助。
我与Hashicorp一起工作,它是在AWS中托管的。我试图找到一种方法从Vault检索密钥使用AWS的任务定义;然而,我没有看到任何有关这方面的信息。您可以使用AWS秘密管理器,但我们不使用此服务。
是否最好使用CI/CD服务(例如GitLab),从Vault检索机密,构建映像并发送到AWS?或者,有没有办法在AWS ECS上实现Vault?
谢谢你阅读这篇文章。
浏览 8提问于2022-03-11得票数 3
回答已采纳
这个问题是关于AWS秘密管理器的轮换。当创建一个秘密,你可以选择旋转频率,但我不知道旋转是如何工作的。
想象一下下面这样的场景。
您可以在aws秘密管理器中创建一个秘密A1,并指定旋转频率为30天。
您可以使用A1加密数据。
30天后,A1被旋转为A2。
然后,程序检索AWS秘密管理器并得到A2的值。如何解密使用A1加密的数据?
浏览 2提问于2020-06-11得票数 0
回答已采纳
看一下示例代码,我似乎需要queue manager和queue name通过代码来设置MQ。这些值之间有什么区别,我从哪里可以得到这些值?有什么建议吗?
MQTopicConnectionFactory cf = new MQTopicConnectionFactory();
// Config
cf.setHostName("localhost");
cf.setPort(1414);
cf.setTransportType(JMSC.MQJMS_TP_CLIENT_MQ_TCPIP);
cf.setQueueManager("QM_think
浏览 10提问于2016-06-10得票数 4
回答已采纳
我正在将IdentityServer4实现到我的ASP.NET核心web应用程序中,该应用程序将使用持续部署部署到Kubernetes群集中。 文档讨论了如何添加签名凭据(AddSigningCredential),大多数教程/指南都演示了如何通过从文件系统加载.pfx文件或使用本地证书存储并按主题名称进行搜索来使用它。 在部署到Kubernetes集群时,是否有一种普遍接受的方式来存储、检索和轮换签名凭据,并且只需最少的干预?
浏览 29提问于2020-01-18得票数 0
回答已采纳
我正在尝试在Kubernetes上设置Traefik,让我们启用加密。昨天,我设法从“让我们加密”中检索了第一个SSL证书,但是在如何存储SSL证书方面遇到了一些困难。
我能够创建一个卷来存储Traefik证书,但这意味着我仅限于一个副本(当有多个副本时,我无法检索证书,因为大多数情况下由于卷没有共享而导致验证出错)。
我读到Traefik可以使用领事之类的东西,但我想知道我是否需要设置/运行一个完整的领事集群来存储获取的证书等等。
浏览 0提问于2018-12-28得票数 5
回答已采纳
我们正在为RBAC使用ServiceAccounts,因此在使用多个SAs时,我们可以通过RoleBindings对访问进行适当的优化。
我们还使用私有注册表,因此可以使用imagePullSecrets从私有注册表中提取图像。我试图想出一个解决方案,通过这个解决方案,在名称空间中创建的所有SAs都将默认获得应用到默认SA中的imagePullSecrets列表,因此当我们使用服务(通常是在SA之后)部署豆荚时,serviceAccount已经被配置为使用imagePullSecrets检索图像。
有没有人想出一种优雅的方法来处理这件事?我确实检查了豆荚是否可以有多个serviceAccoun
浏览 0提问于2018-09-13得票数 7
回答已采纳
2回答
我有一些用Java编写的数据流管道,它们在不同的环境/项目(开发、UAT、生产)中运行在GCP上。目前,环境配置(主要是Cloud实例和BigQuery数据集的连接参数)使用Java类中的静态映射(key = env,value = map of properties)和实用工具类管理,以动态地从Cloud加载其他文件。
在这种情况下管理配置的最佳实践(如果有的话)是什么?
实际上,我看到了两种配置参数:
普通值(在Spring应用程序中存储在普通属性文件中的内容)
秘密值(包含必须加密的数据的属性文件-数据库的用户名/密码,API密钥- K8S上下文中的某些内容可以作为秘密挂载)
浏览 1提问于2021-01-05得票数 0
回答已采纳
我有Azure,它使用一个或多个消息到达队列(peek-lock)连接器,然后插入到SQL数据库中,处理来自基于服务总线会话队列的消息。
注意:在Azure中,这是当一个或多个消息到达队列(peek-lock)第一次触发时。。
我想保护Azure服务总线和Azure SQL数据库的连接字符串。为此,我使用Azure键库存储Azure服务总线和Azure SQL数据库的连接字符串信息。
我跟随这个从Azure Key Vault读取秘密。
但是我想使用parameters.json文件中的机密信息。因为目前我已经在parameters.json文件中硬编码了和的连接字符串。
所以,谁能建议我从A
浏览 3提问于2020-09-14得票数 0
回答已采纳
3回答
我正在尝试从密钥库秘密中检索密码到蔚蓝CLI任务中的变量中。但它并没有带来任何价值。以下是YAML任务:
- task: AzureCLI@2
displayName: Retrieve and store key vault secret
inputs:
azureSubscription: 'azureSubscription'
scriptType: pscore
scriptLocation: inlineScript
inlineScript: |
$secret=$(az keyvault secret show
浏览 3提问于2021-08-31得票数 0
回答已采纳
1回答
我正在开发一个从gcp秘密管理器访问机密的nodejs应用程序。我在本地运行它,使用GOOGLE_APPLICATION_CREDENTIALS变量指导凭据。
然后我尝试将这个服务部署到google云运行中,现在它抛出了错误。
Error: 7 PERMISSION_DENIED: Permission 'secretmanager.versions.access' denied
我想知道如何向云运行的容器中添加凭据。我看到了代码中包含凭证文件的一些实现。从云运行容器访问gcp资源的最佳实践是什么?
浏览 12提问于2022-02-13得票数 0
回答已采纳
我有一个Kubernetes集群(Azure),其中包含nginx-ingress、certmanager和一个应用程序,我想知道是否有一种方法可以将整个系统作为一个单独的包,因此如果集群有任何问题,那么就更容易将另一个集群拆分。
我的主要想法是使nginx入口和certmanager的手动配置自动化,但如果可能的话,我不确定它是如何包括在舵机图表中的。如果不可能,是否有方法(或工具)将环境的手动配置最小化?
提前谢谢。
浏览 1提问于2019-12-23得票数 4
1回答
假设我有一个由两家公司使用的应用程序。这些公司的数据库(和其他)连接将存储在中。
公司:通用汽车
- Resource: Oracle Database Credentials
- Resource: SSH Key XYZ
公司:三星
- Resource: Postgres Database Credentials
- Resource: Encryption Key ABC
公司本身永远不会使用IAM来访问他们的秘密,基本上我们只是尝试使用秘密管理器来安全地存储凭据,而不是在我们的终端处理这个问题。
建议的跨多个组织保密的最佳实践是什么?是否有一种通过“客户帐户”
浏览 7提问于2022-01-29得票数 -1
我的目标是建立一个码头形象詹金斯,并将其部署到AWS弹性豆茎。
为了构建码头映像,我正在使用插件,并通过Dockerfile中的环境变量注入所有秘密。
我现在想弄清楚的是,如何使用CloudFormation或CodePipeline实现此部署的自动化。
我的问题是:
我可以使用CloudFormation或CodePipeline从获取秘密,并将它们作为环境变量注入到ElasticBean秸秆的部署中吗?
浏览 0提问于2019-05-06得票数 1
回答已采纳
2回答
我试图将SSL证书传递给AWS参数存储,SSL证书也受到密码保护。
我的问题是如何检索ECS中容器中的证书文件?我知道如何使用SSM参数存储秘密环境变量,但如何使用它来创建容器上位置的秘密文件?这里有一个字符串和一个文件,SSM是如何管理文件的?
谢谢
浏览 4提问于2019-12-05得票数 1
回答已采纳
我试图使我的应用程序安全,所以我开始使用AWS机密管理器,而不是为不同的服务用户存储我所有的AWS IAM凭据。让我感到困惑的部分是为了获得到AWS机密管理器的连接,以检索其他IAM服务连接的所有机密,我需要一个访问密钥和一个秘密密钥。将这些信息存储在应用程序中的application.properties中,在EC2实例上看起来就像是回过头来工作,因为如果有人访问了这两个键,他们就可以访问所有的秘密,而机密管理器实际上并没有提供任何价值。如何在代码中不存储密钥的情况下创建到机密管理器的连接?提前谢谢。
浏览 6提问于2021-12-08得票数 1
回答已采纳
在为订阅或服务主体创建了一个rbac角色之后,您将获得应用程序id和应用程序的机密信息,但是以后如何检索这些信息呢?
例如,创建rbac角色
az ad sp create-for-rbac --role="Contributor" --scopes="/subscriptions/${SUBSCRIPTION_ID}"
然后,您将得到对
{
"appId": "{appid_hash}",
"displayName": "----------------------------",
&
浏览 3提问于2020-04-29得票数 1
回答已采纳
2回答
我试图在AWS上设置一个目标端点,并且在测试时得到下面的错误。秘密上没有设置特殊权限。IAM角色包含SecretsManagerReadWrite并信任dms.us-west-2.amazonaws.com。下面是设置屏幕的屏幕截图。
请注意,我目前已经设置了一个(常规Postgres)目标端点,并且在尝试重新创建该端点时得到了相同的错误。如果有任何建议,我会很感激的,我正在撕扯我的头发!我很乐意提供更多的信息,只是不确定还需要什么。
错误消息:测试端点失败:应用程序-状态: 1020912,应用程序-消息:检索机密失败。无法找到机密管理器机密,应用程序-详细-消息:无法找到Applicati
浏览 7提问于2021-06-28得票数 4
我一直在浪费大量的时间试图获得一个GitHub网络钩子设置与CloudFormation。这个过程的文档是无用的,例如:
$ aws codebuild import-source-credentials --generate-cli-skeleton
usage: aws [options] <command> <subcommand> [<subcommand> ...] [parameters]
To see help text, you can run:
aws help
aws <command> help
aws <
浏览 1提问于2019-07-16得票数 4
回答已采纳
我使用一个CF模板在AWS上部署了一堆资源。现在,我想检索已填充的模板,以便可以将其转换为HCL以供以后的Terraform部署。我从哪里得到“填好”的yaml文件?
浏览 6提问于2022-10-12得票数 -1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
