Šajā rakstā ir parādīts, kā pārvaldīt noslēpumus, izmantojot AWS Secrets Manager un RDS.
Kas ir slepenais menedžeris?
Eksperti un cilvēki visā pasaulē ir izteikuši arī drošības apdraudējumus un bažas par privātumu. Lai aizsargātu savus digitālos noslēpumus, piemēram, datu bāzes akreditācijas datus, API un marķierus, AWS Secret Manager ir jūsu rīks šim nolūkam.
AWS Secret Manager palīdz uzņēmumiem un organizācijām aizsargāt savus resursus un pakalpojumus no ļaunprātīgiem nodomiem un kiberuzbrukumiem, lai nolaupītu vai nozagtu sensitīvus datus. Šis pakalpojums resursiem piešķir papildu drošības līmeni un ļauj viegli mērogot un pārvaldīt noslēpumus.
Kā pārvaldīt noslēpumus, izmantojot AWS Secret Manager un RDS?
Ikreiz, kad lietotājs konfigurē RDS klasteru, tam ir nepieciešama informācija par klastera reģionu, lietotājvārdu un paroli, un tas tiek identificēts, izmantojot unikālu klastera identifikatoru. RDS integrēšana ar slepeno pārvaldnieku ļaus aizsargāt savus RDS akreditācijas datus un attiecīgi pārvaldīt tos.
Izmantojot Secret Manager, varat definēt šo noslēpumu dzīves ciklu un integrēt tos ar citiem resursiem. Šajā rakstā mēs savam RDS klasterim pievienosim AWS Secret Manager ar Lambda funkciju.
Tālāk ir norādītas dažas darbības šim nolūkam:
1. darbība: izveidojiet RDS kopu
Slepenais pārvaldnieks tiek plaši izmantots, lai aizsargātu datu bāzes akreditācijas datus. Tātad, pirmais solis ir izveidot RDS klasteru. Šim nolūkam skatiet šo rakstu: ' Kā izveidot RDS klasteru AWS? ”. Mums ir izveidots un darbojas RDS klasteris:
2. darbība: AWS slepenais pārvaldnieks
AWS pārvaldības konsolē meklējiet un atlasiet “ Noslēpumu pārvaldnieks ”:
Slepenā pārvaldnieka saskarnē noklikšķiniet uz “Saglabājiet jaunu noslēpumu” poga:
Iekš Slepenais veids , atlasiet “Akreditācijas dati Amazon RDS datubāzei” opcija, kā mēs to konfigurējam RDS:
Nākamais ir Akreditācijas dati sadaļā. Šajā sadaļā norādiet Lietotājvārds un Parole RDS datu bāzei, ko tikko izveidojām:
Iekš Šifrēšanas atslēga sadaļā, lietotājs var vai nu izmantot noklusēto, ko nodrošina AWS Secret Manager, vai izveidot jaunu, noklikšķinot uz “Pievienot jaunu atslēgu” opciju. Līdzīgi, sadaļā Datu bāze sadaļā atlasiet “DB instance” ko esat izveidojis, un nospiediet pogu 'Nākamais' poga:
Norādiet unikālu nosaukumu 'Noslēpums' kas palīdzēs mums to identificēt vēlāk. Apraksts nav obligāts. Tomēr lietotājs var arī sniegt pielāgotu aprakstu šeit:
Interfeisā , Secret Manager arī nodrošina mums iespēju pavairot noslēpumu. Šim nolūkam atlasiet reģionu, kurā vēlaties izveidot replikāciju. Šajā demonstrācijā mums nav nepieciešama replikācija, tāpēc, saglabājot pārējos iestatījumus kā noklusējuma iestatījumus, pieskarieties 'Nākamais' poga:
Saglabājot noklusējuma iestatījumu, mēs tagad pārskatām un rediģējam informāciju. Pēc sniegtās informācijas apstiprināšanas noklikšķiniet uz 'Veikals' pogu, lai izveidotu un saglabātu noslēpumu:
Lūk, noslēpums ir veiksmīgi izveidots . Noklikšķiniet uz ' Noslēpuma vārds ” lai skatītu tā konfigurācijas:
Ritinot saskarni uz leju, mums būs sadaļa Koda paraugs. Šajā sadaļā kodu ģenerē Slepenais vadītājs. Kopējiet šo kodu, kā tas tiks izmantots Lambda funkcija:
// Izmantojiet šo koda fragmentu iekšā jūsu lietotne.// Ja tev vajag vairāk informāciju par konfigurācijām vai koda parauga ieviešanu, apmeklējiet AWS dokumentus:
// https: // docs.aws.amazon.com / sdk-for-javascript / v3 / izstrādātāju ceļvedis / Getting-started.html
imports {
SecretsManagerClient,
GetSecretValueCommand,
} no '@aws-sdk/client-secrets-manager' ;
const secret_name = 'mysecret1/sh' ;
const klients = jauns SecretsManagerClient ( {
novads: 'ap-southeast-1' ,
} ) ;
ļaut atbilde;
mēģināt {
atbilde = gaidiet klientu.sūtīt (
jauna GetSecretValueCommand ( {
SecretId: secret_name,
VersionStage: 'AWSCURRENT' , // VersionStage noklusējuma vērtība ir AWSCURRENT ja nenoteikts
} )
) ;
} noķert ( kļūda ) {
// Izmesto izņēmumu sarakstu sk
// https: // docs.aws.amazon.com / noslēpumu pārvaldnieks / jaunākais / apireference /
API_GetSecretValue.html
izmest kļūdu;
}
const secret = atbilde.SecretString;
// Jūsu kods tiks parādīts šeit
3. darbība: izveidojiet lambda funkciju
Lambda funkcijas saskarnē noklikšķiniet uz ' Izveidojiet funkciju ” poga:
Noklikšķiniet uz “Autors no nulles” opcija no “Izveidot funkciju” interfeiss:
Tālāk mēs virzāmies uz 'Pamatinformācija' sadaļā. Norādiet funkcijas nosaukumu 'Funkcijas nosaukums' lauku un pēc tam nodrošiniet “Izpildes laiks” vidi. Šeit mēs esam izvēlējušies “Node.js 16. x” laukā Runtime:
Noklikšķiniet uz “Izveidot funkciju” poga:
Šeit mēs esam ielīmējuši kodu, ko ģenerēja Slepenais vadītājs . Pēc koda ielīmēšanas noklikšķiniet uz “Izvietot” poga:
Pēc visu izmaiņu izvietošanas noklikšķiniet uz 'Konfigurācija' cilni, lai piešķirtu atļaujas slepenajam pārvaldniekam:
Noklikšķiniet uz “Atļaujas” opcija no 'Konfigurācijas' cilne. Tas parādīs ' Izpildes loma” saskarni un noklikšķiniet uz tālāk esošās saites zem 'Lomas nosaukums' lauks:
Iekš “Atļauju politikas” sadaļā noklikšķiniet uz “Pievienot atļaujas” pogu. Nolaižamajā izvēlnē noklikšķiniet uz “Pievienot politikas” variants:
Iekš “Citas atļauju politikas” sadaļu, meklējiet un atlasiet “SecretsManagerReadWrite” opciju. Nospiediet uz “Pievienot atļaujas” poga:
Šeit politika ir veiksmīgi pievienota un konfigurēta:
4. darbība: pārbaudiet slepeno piekļuvi
Tagad dodieties uz Lambda informācijas paneļa interfeisu. Noklikšķiniet uz 'Pārbaude' cilne:
Nākamajā saskarnē norādiet testa notikuma nosaukumu 'Pasākuma nosaukums' lauks. Noklikšķiniet uz “Saglabāt” poga, lai lietotu konfigurācijas:
Šeit pārbaude ir veiksmīgi konfigurēta. Noklikšķiniet uz 'Pārbaude' poga:
Šeit mēs noklikšķināsim uz 'Pārbaude' vēlreiz, un tiks parādīta šāda izvade:
Tas ir viss no šīs rokasgrāmatas.
Secinājums
Lai pārvaldītu noslēpumus Secret Manager, izveidojiet RDS kopu, pievienojiet to Secret Manager un pēc tam izpildiet šo kodu konfigurētajā Lambda funkcijā. Lambda funkcija noteiks, vai noslēpumam var piekļūt, izpildot tajā esošo kodu, kas satur RDS klastera specifikāciju. Šis raksts ir detalizēts ceļvedis noslēpumu pārvaldīšanai, izmantojot AWS Secret Manager un RDS.