AWS היא פלטפורמת מחשוב מקוונת. לפיכך, זה אך טבעי שהאבטחה הופכת לאחד הדאגות העיקריות של מפתחים ומומחי IT. בהתאם לצורך הזה של המשתמשים שלה, AWS ביטלה את הפרקטיקות המסורתיות של קידוד קשיח של הערכים בתוך הקוד על ידי הצגת 'מנהל סודי של AWS'.
מתאר מהיר
מאמר זה מציג מידע על ההיבטים הבאים:
מה זה מנהל סודי של AWS?
AWS Secret Manager מבריק ביכולתו להגן ולאבטח את המידע הרגיש של משאבים כגון אסימוני OAuth, אישורי מסד נתונים, מפתחות API וכו'. מידע סודי כזה מאוחסן בצורה מוצפנת הידועה בשם 'סודות' . Secret Manager מבטיח שכל המידע הסודי של המשתמש מוצפן ונגיש רק על ידי גורמים מורשים. לסודות אלה ניתן לגשת ולשנות באמצעות AWS Console או CLI.
כיצד ליצור ולשנות סוד ב-AWS Secret Manager באמצעות CLI?
AWS Secret Manager מאפשר למשתמשים לשלוט על האימות וניהול הגישה. מלבד אחסון ואחזור הסודות, המשתמשים יכולים לתזמן את סיבוב הסודות שמחליפים סודות ארוכי טווח בסודות קצרי טווח. זה מוביל לשיפור עמדת האבטחה של האפליקציה ומונע פגיעה אפשרית בפונקציונליות על ידי כל אחד.
Amazon Web Service היא פלטפורמה מעוצבת ומאובטחת השואפת לספק את המתקנים והמשאבים הטובים ביותר למשתמשיה. בבלוג זה נלמד על יישום השיטות הבאות עם סודות באמצעות AWS CLI:
- שיטה 1: צור סוד
- שיטה 2: עדכן את ערך הסוד
- שיטה 3: עריכת תיאור
- שיטה 4: שנה מפתח הצפנה
- שיטה 5: מחק סוד
- שיטה 6: שחזור סוד
- שיטה 7: תייגו סוד
- שיטה 8: סנן את הסוד
- שיטה 9: שכפל סוד
למידע נוסף על שינוי הסוד באמצעות מסוף AWS ע'י עיון במאמר זה: 'כיצד לשנות סודות עם AWS Secret Manager באמצעות קונסולת AWS' .
שיטה 1: צור סוד ב-IAM באמצעות AWS CLI
ל ליצור סוד במנהל הסודי של AWS, להיכנס חשבון AWS באמצעות הפקודה הבאה:
aws להגדיר 
לאחר מכן, ספק את הפקודה הבאה ולחץ על 'להיכנס' כפתור מהמקלדת:
-שֵׁם: משמש להזנת השם של הסוד.
-תיאור: לספק תיאור קצר על הסוד.
–מחרוזת סודית: משמש לציון צמדי מפתח-ערך. בפקודה הנ'ל, 'מִשׁתַמֵשׁ' ו 'סיסמה' הם השניים מפתחות. באופן דומה, 'ראשון' ו 'סיסמה לדוגמה' הם השניים ערכים עבור המפתחות:
כדי ללמוד על יצירת סוד ב-AWS Secret Console, עיין במאמר זה: 'כיצד לאחסן אישורי אמזון RDS באמצעות מנהל הסודות?'
תְפוּקָה
עם זאת, הפלט יכול להיות גם מְאוּמָת מ ה לוח המחוונים של מנהל Secret's שבו הסוד נוצר על ידי CLI:
הקלק על ה שם הסוד . גלול למטה בממשק הבא אל 'ערך סודי' סָעִיף. הקש על 'אחזר ערך סודי' לחצן כדי להציג את צמדי המפתח-ערך:
ה צמדי מפתח-ערך מוצגים הם זהים למה שסיפקנו בפקודה הנ'ל:
שיטה 2: עדכן את ערך הסוד
כדי לעדכן את ערכי המפתחות בסוד, ספק את הפקודה הבאה. ה '-מחרוזת סודית' בפקודה מכילה את הערך המעודכן עבור 'מִשׁתַמֵשׁ' ו 'סיסמה' מפתחות.:
aws secretsmanager לשים-סוד-ערך --מזהה סודי MyFirstSecret --מחרוזת סודית '{' מִשׁתַמֵשׁ ':' עדכן משתמש ',' סיסמה ':' סיסמה מעודכנת '}' 
תְפוּקָה
על ידי ביקור ב לוח המחוונים של מנהל הסוד, הקש על שֵׁם הסוד לצפייה במפרטים. בתוך ה 'ערך סודי' בקטע הממשק המוצג, הקש על 'אחזר ערך סודי' לַחְצָן:
זה יציג את ה צמדי מפתח-ערך . מכאן, הערכים של המפתחות מתעדכנים בהצלחה:
שיטה 3: עדכן את תיאור הסוד
מלבד הערכים, אנו יכולים גם לערוך את תיאור של ה סוֹד . למטרה זו, ספק את הפקודה הבאה ל-CLI:
aws secretsmanager עדכון-סוד --מזהה סודי MyFirstSecret --תיאור 'זה התיאור המעודכן של הסוד' 
תְפוּקָה
לאימות, בקר באתר לוח המחוונים של מנהל Secret's . בלוח המחוונים, ה תיאור סודי מסופק:
שיטה 4: שנה מפתח הצפנה
אחד השינויים האחרים שמשתמש יכול לבצע עם ה- AWS Secret Manager הוא לבצע 'שנה את מפתח ההצפנה' של הסוד. למטרה זו, חפש ובחר את 'KMS' שירות מ מסוף ניהול AWS :
AWS תספק מפתח ברירת מחדל להצפנה בעת יצירת סוד. משתמשים יכולים גם לבחור א 'מפתח מנוהל על ידי לקוח' אבל ה תרגול מומלץ הוא להשתמש ב מפתח ברירת מחדל מסופק . מכיוון שמפתח ברירת המחדל משמש עבור הדגמה זו, לכן, לחץ על 'מפתחות מנוהלים של AWS' אפשרות בסרגל הצד השמאלי של KMS:
גלול למטה את ממשק מפתחות מנוהלים של AWS ולאתר את 'aws / secretmanager' מַפְתֵחַ. מפתח זה משויך לסוד שנוצר קודם לכן. הקלק על ה שם המפתח לצפייה בתצורות:
מ ה ממשק התצורה הכללית, להעתיק את 'RNA' כפי שהוא נדרש לזיהוי הסוד ושינוי מפתח ההצפנה:
נחזור ל-CLI, לְסַפֵּק הבאים פקודה עם ה העתיק את ARN :
aws secretsmanager עדכון-סוד --מזהה סודי MyFirstSecret --kms-key-id arn:aws:kms:us-west- 2 : 123456789012 :מַפְתֵחַ / EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE–kms-key-id: לספק את ה-ARN המועתק לשינוי מפתח ההצפנה של הסוד.
– סוד-מזהה: ספק את שם הסוד שעבורו יש לשנות את המפתח:
שיטה 5: מחק סוד
משתמש יכול גם למחוק את הסוד באמצעות ממשק שורת הפקודה. לפני מחיקת סוד, הוא מתוזמן למינימום של 7 ימים עד לכל היותר 30 ימים. הפקודה הבאה משמשת למחיקת סוד מלוח המחוונים של מנהל הסוד:
aws secretsmanager מחיקה-סוד --מזהה סודי MyFirstSecret --חלון-החלמה-בימים 7 
– סוד-מזהה: ספק את שם הסוד שיש למחוק.
-חלון התאוששות-בימים: מתייחס ללוח הזמנים של המחיקה. הסוד יימחק לאחר הזמן שצוין ב- 'חלון התאוששות' . הסוד יימחק לצמיתות ולא ניתן לשחזר אותו.
תְפוּקָה
לאימות, בקר באתר לוח המחוונים של מנהל סודי ולחץ על 'לִטעוֹן מִחָדָשׁ' לַחְצָן. יוצג ממשק דומה לתמונה המצורפת:
שיטה 6: שחזר סוד
עם AWS Secret Manager, נוכל גם לשחזר את הסוד שנמחק בטעות. בממשק שורת הפקודה, ספק את הפקודה הבאה:
aws secretsmanager שחזור-סוד --מזהה סודי MyFirstSecret– סוד-מזהה: לספק את שם הסוד שיש לשחזר.
תְפוּקָה
בלוח המחוונים של המנהל הסודי, ה סוד שצוין היה שוחזר בהצלחה :
שיטה 7: תייגו סוד
תגים הם א דרך יעילה לנהל את המשאבים. משתמשים יכולים להוסיף 50 תגים לסוד. לתיוג סוד, ספק את הפקודה הבאה ל-AWS CLI:
aws secretsmanager תג-משאב --מזהה סודי MyFirstSecret --תגים מַפְתֵחַ =תג ראשון, ערך =ערך ראשון– סוד-מזהה: מתייחס לשם הסוד שעבורו יש להוסיף את התגים.
-תגים: תגים הם השילוב של המפתחות והערכים. שימוש במילת המפתח '-תגיות', ציין את צמדי המפתח והערך.
תְפוּקָה
לצורך אימות, לבחור את הסוד מלוח המחוונים של המנהל הסודי. גלול מטה אל 'תגים' קטע לצפייה בתג שנוסף:
שיטה 8: סינון סוד
AWS מאפשרת למשתמשים לחפש בסודות המאוחסנים באמצעות ה 'לְסַנֵן' מילת מפתח. המשתמש יכול לסנן סודות על סמך התגים שלו, השם, התיאור וכו'. לסינון הסודות, השתמש בפקודה הבאה:
aws secretsmanager רשימת-סודות --לְסַנֵן מַפְתֵחַ = 'שֵׁם' , ערכים = 'הסוד הראשון שלי'מַפְתֵחַ: ציין את השדה שלפיו יש לסנן את הסודות.
ערכים: ספק את שם הסוד כדי לזהות את הסוד באופן ייחודי
על ידי ביצוע הפקודה המוזכרת לעיל, המנהל הסודי יציג את המידע של המפתח:
שיטה 9: שכפל סוד
Secret Manager גם מאפשר למשתמשים שלו לשכפל את הסודות שלהם באזורים אחרים של AWS. למחיקת הסוד, חשוב קודם כל למחוק את העתק של הסוד. כדי להגדיר את העתק של סוד באזור AWS אחר, השתמש בפקודה המוזכרת להלן:
aws secretsmanager replicate-secret-to-regions --מזהה סודי MyFirstSecret --add-replica-regions אזור =eu-west- 3אזור: מתייחס לאזור של AWS שבו יש לשכפל את הסוד.
למידע נוסף על שכפול סוד ב-AWS Secret Manager על ידי הפניה למאמר זה: 'כיצד לשכפל סוד לאזורים אחרים במנהל הסודי של AWS?' .
תְפוּקָה
כדי לוודא אם הסוד שוכפל בהצלחה או לא, בקר ב- לוח המחוונים של מנהל סודי ובחר את הסוד:
גלול מטה אל שכפול קטע סודי . השכפול הופעלה בְּהַצלָחָה :
זה הכל מהמדריך הזה.
סיכום
כדי ליצור ולשנות את הסוד באמצעות CLI, הזן את הפקודות שהוזכרו וציין את צמדי הפעולה, המזהה הסודי וערך מפתח לזיהוי ייחודי של הסוד. על ידי שימוש בפקודות אלו, המשתמשים יכולים לבצע את כל פעולות הסודות שבוצעו באמצעות קונסולת AWS כגון מחיקה, עדכון, יצירה, שכפול או שחזור וכו'. מאמר זה הוא מדריך מלא עם תיאור שלב אחר שלב כיצד ליצור ולשנות סוד ב-AWS Secret Manager באמצעות CLI.