AWS ialah platform pengkomputeran dalam talian. Oleh itu, adalah wajar bahawa keselamatan menjadi salah satu kebimbangan utama pembangun dan Pakar IT. Untuk memenuhi keperluan penggunanya, AWS telah menghapuskan amalan tradisional pengekodan keras nilai dalam kod dengan memperkenalkan 'Pengurus Rahsia AWS'.
Rangka Pantas
Artikel ini membentangkan maklumat mengenai aspek berikut:
- Apakah Pengurus Rahsia AWS?
- Bagaimana untuk Mencipta Dan Mengubah Suai Rahsia dalam Pengurus Rahsia AWS Menggunakan CLI?
- Kesimpulan
Apakah Pengurus Rahsia AWS?
Pengurus Rahsia AWS bersinar dalam keupayaannya untuk melindungi dan menjamin maklumat sensitif sumber seperti token OAuth, bukti kelayakan Pangkalan Data, kunci API, dll. Maklumat sulit tersebut disimpan dalam bentuk yang disulitkan yang dikenali sebagai “rahsia” . Pengurus Rahsia memastikan bahawa semua maklumat sulit pengguna disulitkan dan hanya diakses oleh badan yang diberi kuasa. Rahsia ini boleh diakses dan diubah suai dengan menggunakan AWS Console atau CLI.
Bagaimana untuk Mencipta Dan Mengubah Suai Rahsia dalam Pengurus Rahsia AWS Menggunakan CLI?
Pengurus Rahsia AWS membenarkan pengguna mengawal pengesahan dan pengurusan akses. Selain daripada menyimpan dan mendapatkan semula rahsia, pengguna boleh menjadualkan penggiliran rahsia yang menggantikan rahsia jangka panjang dengan rahsia jangka pendek. Ini membawa kepada postur keselamatan yang lebih baik bagi aplikasi dan menghalang kemungkinan kompromi kefungsian oleh sesiapa sahaja.
Perkhidmatan Web Amazon ialah platform yang direka dengan baik dan selamat yang berusaha untuk menyediakan kemudahan dan sumber terbaik kepada penggunanya. Dalam blog ini, kita akan belajar tentang pelaksanaan kaedah berikut dengan rahsia menggunakan AWS CLI:
- Kaedah 1: Cipta Rahsia
- Kaedah 2: Kemas kini Nilai Rahsia
- Kaedah 3: Edit Penerangan
- Kaedah 4: Tukar Kunci Penyulitan
- Kaedah 5: Padam Rahsia
- Kaedah 6: Pulihkan Rahsia
- Kaedah 7: Tag Rahsia
- Kaedah 8: Tapis Rahsia
- Kaedah 9: Meniru Rahsia
Ketahui lebih lanjut tentang Mengubah Suai Rahsia menggunakan AWS Console dengan merujuk kepada artikel ini: “Cara Mengubah Suai Rahsia Dengan Pengurus Rahsia AWS Menggunakan AWS Console” .
Kaedah 1: Cipta Rahsia dalam IAM Menggunakan AWS CLI
Kepada mencipta rahsia dalam Pengurus Rahsia AWS, log masuk akaun AWS menggunakan arahan berikut:
konfigurasi aws 
Seterusnya, berikan arahan berikut dan tekan butang “Masuk” butang dari papan kekunci:
–nama: digunakan untuk memasukkan nama untuk rahsia.
–penerangan: memberikan penerangan ringkas tentang rahsia tersebut.
–rentetan rahsia: digunakan untuk menentukan pasangan nilai kunci. Dalam perintah yang disebutkan di atas, “pengguna” dan “kata laluan” adalah kedua-duanya kunci. Begitu juga, “pengguna pertama” dan 'contoh-kata laluan' adalah kedua-duanya nilai untuk kunci:
Untuk mengetahui tentang mencipta rahsia dalam AWS Secret Console, rujuk artikel ini: 'Bagaimana untuk Menyimpan Kredensial Amazon RDS Menggunakan Pengurus Rahsia?'
Pengeluaran
Walau bagaimanapun, output juga boleh disahkan daripada Papan Pemuka Pengurus Rahsia di mana rahsia dicipta oleh CLI :
Klik pada nama rahsia . Tatal ke bawah antara muka seterusnya ke “Nilai rahsia” bahagian. Ketik pada “Dapatkan nilai rahsia” butang untuk melihat pasangan nilai kunci:
The pasangan nilai kunci dipaparkan adalah sama seperti yang telah kami sediakan dalam arahan yang disebutkan di atas:
Kaedah 2: Kemas kini Nilai Rahsia
Untuk mengemas kini nilai kunci secara rahsia, berikan arahan berikut. The “–rentetan rahsia” dalam arahan mengandungi nilai yang dikemas kini untuk “pengguna” dan “kata laluan” kunci.:
aws secretsmanager meletakkan-nilai-rahsia --rahsia-id MyFirstSecret --rentetan-rahsia '{' pengguna ':' pengguna yang dikemas kini ',' kata laluan ':' kata laluan yang dikemas kini '}' 
Pengeluaran
Dengan melawat Papan Pemuka Pengurus Rahsia, ketik nama rahsia untuk melihat spesifikasi. Di dalam “Nilai rahsia” bahagian pada antara muka yang dipaparkan, ketik “Dapatkan nilai rahsia” butang:
Ini akan memaparkan pasangan kunci-nilai . Dari sini, nilai untuk kunci berjaya dikemas kini:
Kaedah 3: Kemas kini Penerangan Rahsia
Selain daripada nilai, kita juga boleh mengedit penerangan daripada Rahsia . Untuk tujuan ini, berikan arahan berikut kepada CLI:
aws secretsmanager kemas kini-rahsia --rahsia-id MyFirstSecret --penerangan 'Ini ialah perihalan yang dikemas kini untuk rahsia' 
Pengeluaran
Untuk pengesahan, lawati laman web Papan Pemuka Pengurus Rahsia . Pada papan pemuka, penerangan rahsia disediakan:
Kaedah 4: Tukar Kunci Penyulitan
Salah satu pengubahsuaian lain yang boleh dilakukan oleh pengguna dengan Pengurus Rahsia AWS ialah 'Tukar Kunci Penyulitan' daripada rahsia itu. Untuk tujuan ini, cari dan pilih “KMS” perkhidmatan daripada Konsol Pengurusan AWS :
AWS akan menyediakan kunci lalai untuk penyulitan apabila mencipta rahsia. Pengguna juga boleh memilih a “Kunci terurus pelanggan” tetapi amalan yang disyorkan ialah menggunakan kunci lalai disediakan . Oleh kerana kunci lalai sedang digunakan untuk demo ini, oleh itu, klik pada 'Kunci terurus AWS' pilihan dari bar sisi kiri KMS:
Tatal ke bawah Antara muka kunci terurus AWS dan cari “aws/pengurus rahsia” kunci. Kunci ini dikaitkan dengan rahsia yang dibuat sebelum ini. Klik pada nama kunci untuk melihat konfigurasi:
Daripada Antara muka konfigurasi am, menyalin “RNA” kerana ia diperlukan untuk mengenal pasti rahsia dan menukar kunci penyulitan:
Kembali ke CLI, menyediakan yang berikut perintah dengan disalin ARN :
aws secretsmanager kemas kini-rahsia --rahsia-id MyFirstSecret --kms-key-id arn:aws:kms:us-west- 2 : 123456789012 :kunci / CONTOH1-90ab-cdef-fedc-ba987CONTOH–kms-key-id: sediakan ARN yang disalin untuk menukar kunci penyulitan rahsia.
–rahsia-id: Berikan nama rahsia yang kuncinya akan ditukar:
Kaedah 5: Padam Rahsia
Pengguna juga boleh memadamkan rahsia dengan menggunakan antara muka baris arahan. Sebelum sesuatu rahsia dipadamkan, ia dijadualkan sekurang-kurangnya 7 hari hingga maksimum 30 hari. Perintah berikut digunakan untuk memadamkan rahsia daripada Papan Pemuka Pengurus Rahsia:
aws secretsmanager padam-rahsia --rahsia-id MyFirstSecret --tetingkap-pemulihan-dalam-hari 7 
–rahsia-id: berikan nama rahsia yang hendak dipadamkan.
–tetingkap-pemulihan-dalam-hari: merujuk kepada jadual pemadaman. Rahsia akan dipadamkan selepas masa yang ditetapkan dalam 'tetingkap pemulihan' . Rahsia akan dipadamkan secara kekal dan tidak boleh dipulihkan.
Pengeluaran
Untuk pengesahan, lawati laman web Papan Pemuka Pengurus Rahsia dan klik pada 'Tambah nilai' butang. Antara muka yang serupa dengan imej yang dilampirkan akan dipaparkan:
Kaedah 6: Pulihkan Rahsia
Dengan Pengurus Rahsia AWS, kami juga boleh memulihkan rahsia yang dipadamkan secara tidak sengaja. Pada antara muka baris arahan, berikan arahan berikut:
aws secretsmanager memulihkan-rahsia --rahsia-id MyFirstSecret–rahsia-id: berikan nama rahsia yang ingin dipulihkan.
Pengeluaran
Pada Papan Pemuka Pengurus Rahsia, yang rahsia yang ditentukan telah berjaya dipulihkan :
Kaedah 7: Tag Rahsia
Tag ialah sebuah cara yang cekap untuk menguruskan sumber. Pengguna boleh menambah 50 tag kepada rahsia. Untuk menandai rahsia, berikan arahan berikut kepada AWS CLI:
aws secretsmanager tag-resource --rahsia-id MyFirstSecret --tag kunci =FirstTag, Nilai =Nilai Pertama–rahsia-id: merujuk kepada nama rahsia yang mana tag akan ditambah.
–tag: Teg ialah gabungan kunci dan nilai. Menggunakan kata kunci “–tag”, tentukan pasangan kunci dan nilai.
Pengeluaran
Untuk pengesahan, pilih rahsia daripada Papan Pemuka Pengurus Rahsia. Tatal ke bawah ke “Tag” bahagian untuk melihat teg yang ditambahkan:
Kaedah 8: Tapis Rahsia
AWS membolehkan pengguna mencari rahsia yang disimpan dengan menggunakan “Penapis” kata kunci. Pengguna boleh menapis rahsia berdasarkan tag, nama, perihalan, dll. Untuk menapis rahsia, gunakan arahan berikut:
senarai-rahsia pengurus rahsia aws --penapis kunci = 'nama' , Nilai = 'MyFirstSecret'kunci: nyatakan medan yang mana rahsia harus ditapis.
Nilai: berikan nama rahsia untuk mengenal pasti rahsia secara unik
Dengan melaksanakan arahan yang disebutkan di atas, Pengurus Rahsia akan memaparkan maklumat kunci:
Kaedah 9: Meniru Rahsia
Pengurus Rahsia juga membolehkan penggunanya meniru rahsia mereka di kawasan lain AWS. Untuk memadamkan rahsia, adalah penting untuk memadamkan replika rahsia terlebih dahulu. Untuk mengkonfigurasi replika rahsia dalam Wilayah AWS yang berbeza, gunakan perintah yang disebut di bawah:
aws secretsmanager replikat-rahsia-ke-rantau --rahsia-id MyFirstSecret --tambah-replika-wilayah Wilayah =eu-barat- 3Wilayah: merujuk kepada kawasan AWS di mana rahsia itu perlu ditiru.
Ketahui lebih lanjut tentang mereplikasi Rahsia dalam Pengurus Rahsia AWS dengan merujuk kepada artikel ini: 'Bagaimana untuk Meniru Rahsia kepada Kawasan Lain dalam Pengurus Rahsia AWS?' .
Pengeluaran
Untuk mengesahkan sama ada rahsia telah berjaya direplikasi atau tidak, lawati laman web Papan Pemuka Pengurus Rahsia dan pilih rahsia:
Tatal ke bawah ke Tiru bahagian rahsia . Replikasi telah didayakan dengan jayanya :
Itu sahaja daripada panduan ini.
Kesimpulan
Untuk mencipta dan mengubah suai rahsia menggunakan CLI, masukkan arahan yang disebutkan dan nyatakan tindakan, ID rahsia dan pasangan nilai kunci untuk mengenal pasti rahsia secara unik. Dengan menggunakan arahan ini, pengguna boleh melaksanakan semua operasi rahsia yang dilakukan menggunakan AWS Console seperti memadam, mengemas kini, mencipta, mereplikasi atau memulihkan, dsb. Artikel ini ialah tutorial lengkap dengan penerangan langkah demi langkah tentang cara mencipta dan mengubah suai Rahsia dalam Pengurus Rahsia AWS menggunakan CLI.