php中文网

使用 Secrets Loader 轻松管理 Laravel 和 JS 项目

php中文网

跨各种环境管理 api 密钥、令牌和凭证等敏感数据可能非常棘手,尤其是在开发和部署应用程序时。确保秘密在需要时安全地存储和获取,而不是将它们硬编码到版本控制中,对于维护安全性至关重要。

这就是我创建 secrets loader 的原因,这是一个 bash 脚本,可以动态地将 aws ssm 和 cloudformation 中的密钥直接提取到您的 .env 文件中,从而使本地开发和部署更轻松、更安全、更高效。


什么是秘密加载器?

secrets loader 是一个简单的工具,旨在根据 .env 文件中的自定义语法自动从 aws ssm parameter store 和 aws cloudformation 输出中获取密钥。它用实际秘密替换占位符,而不会在版本控制中暴露敏感信息。

例如,您无需对 api 密钥或凭据进行硬编码,而是在 .env 文件中定义它们,如下所示:

third_party_api_key="ssm:/third-party/api/key"
aws_access_key_id="cf:my-stack:accesskeyid"

只需一个命令,secrets loader 即可从 aws 获取实际值并更新您的 .env 文件,从而保证敏感信息的安全且易于管理。


我为什么建造它

在本地开发和部署期间,我发现自己正在处理敏感凭据,我不想将这些凭据硬编码到项目文件中。广泛使用 aws 服务后,我想要一种将秘密管理集成到我现有的开发工作流程中的方法,而不需要太多麻烦。

以下是 secrets loader 解决的主要挑战:

  1. 避免硬编码秘密:不再将秘密提交给版本控制。您可以安全地使用占位符并从 aws ssm 和 cloudformation 动态获取实际值。
  2. 减少手动工作:无需手动复制和粘贴秘密值,只需在 .env 文件中定义一次,然后让脚本执行提取操作。
  3. 简化机密管理:无论您是在本地开发、登台还是生产,secrets loader 都能确保安全、自动加载机密。

特征

secrets loader 具有一些关键功能,使其成为本地开发和生产环境的便捷工具:

  • 自动秘密加载:通过在 .env 文件中指定路径从 aws ssm parameter store 和 cloudformation 获取秘密。
  • 安全第一的方法:通过在运行时安全地加载敏感数据,使敏感数据脱离版本控制。
  • 简单语法:在 .env 文件中使用自定义语法(ssm:用于 ssm 参数,cf:用于 cloudformation 输出)来指定机密应来自何处。
  • 错误处理:即使一次检索失败,脚本也会继续处理其他机密,并在不停止工作流程的情况下记录警告。

它是如何运作的

secrets loader 的神奇之处在于它能够根据特定前缀(ssm: 和 cf:)从 aws 获取机密。这是一个示例工作流程:

  1. 设置您的 .env 文件:

使用 ssm 参数的 ssm: 前缀或 cloudformation 输出的 cf: 前缀在 .env 文件中添加机密占位符:

   third_party_api_key="ssm:/third-party/api/key"
   aws_secret_access_key="cf:my-stack:secretaccesskey"
  1. 运行脚本:

使用以下命令运行脚本并获取机密:

   ./secrets.sh
  1. 更新的 .env 文件

运行脚本后,您的 .env 文件将使用从 aws 获取的实际值进行更新:

   third_party_api_key=actual-api-key-value
   aws_secret_access_key=actual-access-key-value

不再需要硬编码秘密,也不再需要手动查找!


安装与设置

准备好开始了吗?以下是您在项目中设置 secrets loader 的方法:

  1. 克隆存储库
   git clone https://github.com/thavarshan/secretst-loader.git
   cd secretst-loader
  1. 使脚本可执行
   chmod +x secrets.sh
  1. 确保已安装并配置 aws cli:

如果您尚未安装 aws cli,请按照 aws cli 安装指南进行操作。安装后,配置您的 aws 凭证:

   aws configure
  1. 在 .env 中定义你的秘密:

使用 ssm: 和 cf: 前缀来定义秘密的来源:

   third_party_api_key="ssm:/third-party/api/key"
   aws_access_key_id="cf:my-stack:accesskeyid"

用法示例

让我们看一个简单的例子:

.env.example 文件:

# application settings
app_name=myapp
app_env=production

# secrets fetched from aws ssm and cloudformation
third_party_api_key="ssm:/third-party/api/key"
aws_secret_access_key="cf:my-stack:secretaccesskey"

运行秘密加载器:

./secrets.sh

更新的 .env 文件:

# Application settings
APP_NAME=MyApp
APP_ENV=production

# Fetched secrets
THIRD_PARTY_API_KEY=actual-api-key-value
AWS_SECRET_ACCESS_KEY=actual-secret-access-key

故障排除

如果您在使用secrets loader时遇到任何问题,请检查以下几点:

  1. aws 权限:确保 aws cli 配置正确,并且您的 iam 角色或用户有足够的权限来访问 aws ssm 和 cloudformation 密钥。

  2. 语法错误:仔细检查 .env 文件中的语法以确保 ssm: 和 cf: 前缀正确。

  3. 脚本错误:如果脚本无法获取某些机密,它将记录警告,但会继续获取其他机密。查看日志中是否有任何错误消息,并确保 aws 资源存在且可访问。


扩展秘密加载器

该脚本被设计为可扩展的。如果您想集成其他秘密管理系统(例如 azure key vault 或 hashicorp vault),您可以轻松修改脚本以支持新的前缀和获取逻辑。

例如,您可以添加 azkv: 前缀以从 azure key vault 获取机密并使用 azure cli 处理检索。


贡献

secrets loader 是开源的,欢迎贡献!如果您想添加功能、修复错误或提出改进建议,请随时:

  • 打开问题:分享您的反馈或错误报告。
  • 提交拉取请求:按照我们的贡献指南贡献代码。

结论

如果您厌倦了跨环境手动管理机密,secrets loader 是一个简单、有效的工具,可以简化流程。通过从 aws ssm 和 cloudformation 动态获取机密,您可以安全地管理您的凭证,而不会面临在版本控制中暴露的风险。

在 github 上查看该项目,尝试一下,如果您发现它有用,在 github 上给我们一个 ⭐!您的支持有助于项目的成长,我们很乐意听到您的声音反馈或查看您对其持续开发的贡献。

以上就是使用 Secrets Loader 轻松管理 Laravel 和 JS 项目的详细内容,更多请关注php中文网其它相关文章!