如何通过存储在vault中的github私钥安全地使用大厅
我们正试着和Vault一起运行大厅。使用vault的原因是以安全的方式存储机密。我们希望存储在vault中的一些参数是github私钥,用于访问github存储库,以及用于访问CloudFoundry的用户名和密码。这些秘密是不会被分享的.
听起来都很不错,然而,当可以访问大厅团队时,恢复存储在保险库中的秘密内容是相当容易的。
示例:在vault中存储以下内容
vault write concourse/main/cat-name value=Garfield
vault write concourse/main/dog-name value=Odie运行下一个管道将显示存储的参数的内容:
jobs:
- name: show-animal-names
plan:
- task: show-animal-names
config:
platform: linux
image_resource:
type: docker-image
source:
repository: busybox
params:
CAT_NAME: ((cat-name))
DOG_NAME: ((dog-name))
run:
path: env这会导致:
fly -t concourse trigger-job -j publishing-outputs/show-animal-names -w
started publishing-outputs/show-animal-names #1
initializing
running env
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
HOME=/root
CAT_NAME=Garfield
DOG_NAME=Odie
USER=root
succeeded这样,还可以检索用户名、密码、github私钥和存储在vault中的所有其他内容,供有权在大厅中更新管道的每个人检索。
有没有办法使用大厅,让这些秘密保密,所以不显示出来?
回答 2
Stack Overflow用户
发布于 2018-06-06 20:47:46
您是否考虑过CredHub及其与Concourse的集成?
Stack Overflow用户
发布于 2018-06-12 16:02:43
难道不是也可以通过做一个fly gp -p my-pipeline来获取完整的秘密吗?或者Concourse正在编辑Credhub/Vault引用的秘密的内容吗?
我也认为在大厅里应该有更多的秘密保护。这不仅与从Vault或Credhub接收的机密有关。我也不愿意让每个有权访问团队的用户都可以从我用fly sp -p... -l <secret-file>调用的管道凭据文件中接收所有秘密
https://stackoverflow.com/questions/50716094
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号