AWS je online počítačová platforma. Je tedy přirozené, že se bezpečnost stává jedním z hlavních zájmů vývojářů a IT expertů. Aby AWS vyhověla těmto potřebám svých uživatelů, odstranila tradiční praktiky pevného kódování hodnot v kódu zavedením „tajný manažer AWS“.
Rychlý přehled
Tento článek obsahuje informace o následujících aspektech:
- Co je to AWS Secret Manager?
- Jak vytvořit a upravit tajemství v AWS Secret Manager pomocí CLI?
- Závěr
Co je to AWS Secret Manager?
AWS Secret Manager září ve své schopnosti chránit a zabezpečit citlivé informace zdrojů, jako jsou tokeny OAuth, přihlašovací údaje k databázi, klíče API atd. Takové důvěrné informace jsou uloženy v zašifrované podobě známé jako 'tajemství' . Secret Manager zajišťuje, že všechny důvěrné informace uživatele jsou zašifrovány a přístup k nim mají pouze oprávněné orgány. K těmto tajemstvím lze přistupovat a upravovat je pomocí konzoly AWS nebo CLI.
Jak vytvořit a upravit tajemství v AWS Secret Manager pomocí CLI?
AWS Secret Manager umožňuje uživatelům ovládat ověřování a správu přístupu. Kromě ukládání a získávání tajemství mohou uživatelé naplánovat rotaci tajemství, která nahrazují dlouhodobá tajemství krátkodobými. To vede ke zlepšení bezpečnostní pozice aplikace a zabraňuje možnému ohrožení funkčnosti kýmkoli.
Amazon Web Service je dobře navržená a bezpečná platforma, která se snaží svým uživatelům poskytovat nejlepší zařízení a zdroje. V tomto blogu se dozvíme o implementaci následujících metod s tajemstvím pomocí AWS CLI:
- Metoda 1: Vytvořte tajemství
- Metoda 2: Aktualizujte hodnotu tajemství
- Metoda 3: Upravit popis
- Metoda 4: Změňte šifrovací klíč
- Metoda 5: Odstraňte tajný klíč
- Metoda 6: Obnovení tajného klíče
- Metoda 7: Označte tajemství
- Metoda 8: Filtrujte tajemství
- Metoda 9: Replikujte tajný klíč
Další informace o úpravě tajemství pomocí konzoly AWS naleznete v tomto článku: „Jak upravit tajemství pomocí Správce tajemství AWS pomocí konzoly AWS“ .
Metoda 1: Vytvořte tajemství v IAM pomocí AWS CLI
Na vytvořit tajemství v AWS Secret Manager, přihlásit se do účet AWS pomocí následujícího příkazu:
aws konfigurovat
Dále zadejte následující příkaz a stiskněte 'Vstup' tlačítko na klávesnici:
-název: se používá k zadání názvu tajného klíče.
-popis: uveďte krátký popis tajemství.
-tajný řetězec: se používá pro specifikaci párů klíč–hodnota. Ve výše uvedeném příkazu 'uživatel' a 'Heslo' jsou dva klíče. Podobně, 'první' a 'ukázkové heslo' jsou dva hodnoty pro klíče:
Chcete-li se dozvědět o vytvoření tajného klíče v AWS Secret Console, přečtěte si tento článek: 'Jak uložit přihlašovací údaje Amazon RDS pomocí Správce tajemství?'
Výstup
Výstup však může být také ověřeno z Řídicí panel správce tajemství kde je tajemství vytvořeno pomocí CLI:
Klikněte na Jméno tajemství . Přejděte dolů na další rozhraní na “Tajná hodnota” sekce. Klepněte na 'Načíst tajnou hodnotu' tlačítko pro zobrazení párů klíč–hodnota:
The zobrazeny páry klíč–hodnota jsou stejné jako ty, které jsme uvedli ve výše uvedeném příkazu:
Metoda 2: Aktualizujte hodnotu tajemství
Chcete-li aktualizovat hodnoty klíčů v tajném klíči, zadejte následující příkaz. The '-tajný řetězec' v příkazu obsahuje aktualizovanou hodnotu pro 'uživatel' a 'Heslo' klíče.:
aws secretsmanager put-secret-value --tajné-id MyFirstSecret --tajný-řetězec '{' uživatel ':' aktualizovaný uživatel ',' Heslo ':' aktualizované heslo '}'
Výstup
Návštěvou řídicí panel Secret's Manager, klepněte na název tajemství pro zobrazení specifikací. V “Tajná hodnota” v zobrazeném rozhraní klepněte na 'Načíst tajnou hodnotu' knoflík:
Tím se zobrazí páry klíč-hodnota . Odtud jsou hodnoty pro klíče úspěšně aktualizovány:
Metoda 3: Aktualizujte popis tajemství
Kromě hodnot můžeme také upravovat popis z Tajný . Za tímto účelem poskytněte CLI následující příkaz:
aws secretsmanager update-secret --tajné-id MyFirstSecret --popis 'Toto je aktualizovaný popis tajemství'
Výstup
Pro ověření navštivte Řídicí panel správce tajemství . Na palubní desce je tajný popis je poskytován:
Metoda 4: Změňte šifrovací klíč
Jednou z dalších úprav, které může uživatel provést pomocí správce AWS Secret Manager, je „Změnit šifrovací klíč“ tajemství. Pro tento účel vyhledejte a vyberte 'KMS' služba od Konzole pro správu AWS :
AWS poskytne výchozí klíč pro šifrování při vytváření tajemství. Uživatelé mohou také vybrat a „Klíč spravovaný zákazníkem“ ale doporučená praxe je použít poskytnut výchozí klíč . Protože se pro toto demo používá výchozí klíč, klikněte na 'Spravované klíče AWS' možnost z levého postranního panelu KMS:
Přejděte dolů na Rozhraní spravovaných klíčů AWS a najděte 'aws/secretmanager' klíč. Tento klíč je spojen s dříve vytvořeným tajemstvím. Klikněte na jméno klíče pro zobrazení konfigurací:
z Rozhraní obecné konfigurace, zkopírujte 'RNA' protože je to nutné pro identifikaci tajemství a změnu šifrovacího klíče:
Když se vrátíme k CLI, poskytnout následující příkaz s zkopírované ARN :
aws secretsmanager update-secret --tajné-id MyFirstSecret --kms-key-id arn:aws:kms:us-west- 2 : 123456789012 :klíč / PŘÍKLAD 1-90ab-cdef-fedc-ba987 PŘÍKLAD–kms-key-id: poskytnout zkopírované ARN pro změnu šifrovacího klíče tajného klíče.
– tajné id: Zadejte název tajného klíče, u kterého se má klíč změnit:
Metoda 5: Odstraňte tajný klíč
Uživatel může také odstranit tajný klíč pomocí rozhraní příkazového řádku. Než je tajný klíč smazán, je naplánováno na minimálně 7 dní až maximálně 30 dní. Následující příkaz se používá k odstranění tajného klíče z řídicího panelu správce tajemství:
aws secretsmanager delete-secret --tajné-id MyFirstSecret --obnovení-okno-ve-dnech 7
– tajné id: uveďte název tajemství, které má být vymazáno.
– okno zotavení ve dnech: odkazuje na plán mazání. Tajný klíč bude smazán po uplynutí zadaného času v 'okno obnovy' . Tajný klíč bude trvale smazán a nelze jej obnovit.
Výstup
Pro ověření navštivte Dashboard tajného manažera a klikněte na 'Znovu načíst' knoflík. Zobrazí se rozhraní podobné přiloženému obrázku:
Metoda 6: Obnovení tajemství
Pomocí AWS Secret Manager můžeme také obnovit tajemství, které bylo omylem smazáno. V rozhraní příkazového řádku zadejte následující příkaz:
aws secretsmanager obnovení-tajné --tajné-id MyFirstSecret– tajné id: uveďte název tajemství, které má být obnoveno.
Výstup
Na řídicím panelu Secret Manager je zadané tajemství byl úspěšně obnovena :
Metoda 7: Označte tajemství
Tagy jsou an efektivní způsob spravovat zdroje. Uživatelé mohou přidat 50 značky k tajemství. Chcete-li označit tajný klíč, poskytněte AWS CLI následující příkaz:
aws secretsmanager tag-resource --tajné-id MyFirstSecret --tagy Klíč =FirstTag, Hodnota =FirstValue– tajné id: odkazuje na název tajemství, pro které mají být značky přidány.
- tagy: Tagy jsou kombinací klíčů a hodnot. Pomocí klíčového slova '-tagy', určete páry klíčů a hodnot.
Výstup
pro ověření, vybrat tajemství z řídicího panelu Secret Manager. Přejděte dolů na 'Značky' sekce pro zobrazení přidané značky:
Metoda 8: Filtrování tajného klíče
AWS umožňuje uživatelům vyhledávat uložená tajemství pomocí 'Filtr' klíčové slovo. Uživatel může filtrovat tajné klíče na základě jejich značek, názvu, popisu atd. K filtrování tajných klíčů použijte následující příkaz:
aws secretsmanager seznam-tajemství --filtr Klíč = 'název' , Hodnoty = 'MyFirstSecret'Klíč: zadejte pole, podle kterého mají být tajné klíče filtrovány.
Hodnoty: poskytněte název tajného klíče, abyste ho jednoznačně identifikovali
Provedením výše uvedeného příkazu zobrazí Správce tajemství informace o klíči:
Metoda 9: Replikujte tajný klíč
Secret Manager také umožňuje svým uživatelům replikovat svá tajemství v jiných oblastech AWS. Pro smazání tajného klíče je důležité nejprve smazat repliku tajného klíče. Chcete-li nakonfigurovat repliku tajného klíče v jiné oblasti AWS, použijte níže uvedený příkaz:
aws secretsmanager replikovat-tajné do regionů --tajné-id MyFirstSecret --add-replica-regions Kraj =eu-západ- 3Kraj: odkazuje na oblast AWS, kde musí být tajemství replikováno.
Další informace o replikaci tajného klíče v AWS Secret Manager naleznete v tomto článku: 'Jak replikovat tajemství do jiných oblastí v AWS Secret Manager?' .
Výstup
Chcete-li ověřit, zda byl tajný klíč replikován úspěšně nebo ne, navštivte stránku Dashboard tajného manažera a vyberte tajemství:
Přejděte dolů na Replikovat tajnou sekci . Replikace byla povolena úspěšně :
To je z tohoto průvodce vše.
Závěr
Chcete-li vytvořit a upravit tajný klíč pomocí rozhraní příkazového řádku, zadejte uvedené příkazy a určete akci, tajné ID a páry klíč–hodnota, abyste tajný klíč jednoznačně identifikovali. Pomocí těchto příkazů mohou uživatelé provádět všechny operace tajných klíčů, které byly provedeny pomocí konzoly AWS, jako je mazání, aktualizace, vytváření, replikace nebo obnovování atd. Tento článek je kompletním návodem s podrobným popisem o tom, jak vytvořit a upravit tajemství v AWS Secret Manager pomocí CLI.