存儲在 Google Secret Manager 中的 DotNet 用戶機密
[英]DotNet User secrets stored in Google Secret Manager
原文
2020-07-24 20:17:05
1
2
c#/
.net-core/
google-cloud-platform/
google-cloud-run/
google-secret-manager
問題描述
我需要將 dotnet web 應用程序部署到 Google Cloud Run,並希望使用用戶機密文件來存儲憑據。 目前,它們位於不安全的 appsettings 中。 有沒有人使用 Google Secret Manager 做到這一點?
- 最好存儲鍵值對,一個 json blob?
- 我想在啟動時而不是在構建時提取值。
如果有現有的示例或片段,他們將不勝感激。
謝謝。
2 個解決方案
解決方案1
3 已采納 2020-07-24 22:24:27
Google Cloud Run 和 Google Secret Manager 可以很好地協同工作。 關鍵是授予 Cloud Run 服務帳戶訪問 Secret Manager 的權限。 這消除了在您的應用程序中訪問 Secret Manager 的需要。
最好存儲鍵值對,一個 json blob?
這取決於存儲的數據量。 通常,您創建一個具有名稱 (secretId) 的密鑰並將數據分配給該密鑰(通過 API 或 CLI gcloud )。 在您的應用程序中,您按名稱 (secretId) 讀取密鑰。
我想在啟動時而不是在構建時提取值。
Seth Vargo(此處重復)提供的鏈接有 C# 和許多其他語言的示例。 您的應用程序在運行時從 Secret Manager 讀取機密。
Guillaume Blaquiere 寫了一篇文章,展示了如何使用 Secret Manager、Cloud Run 和環境變量。 絕對值得一讀。
解決方案2
-2 2020-07-24 20:44:07
恕我直言,使用專用的秘密引擎是“最好的”。
大多數秘密引擎:
Hashicorp Vault << 可能是最靈活的..有人稱其為秘密的“瑞士軍刀”
胸腺秘密商店
Azure KeyVault(天藍色雲)
AKS (AWS)(亞馬遜雲)
(和你的朋友,谷歌)
是相似的。
如果您使用的是 Kubernetes,您可以編寫一個混凝土,該混凝土將從 Kubernetes“已安裝的機密”中讀取值。 (我更喜歡虛擬文件掛載的秘密)。
我所做的是創建一個抽象,然后為我的實現選擇編寫一個具體的代碼。
對於開發環境,您還可以編寫具體代碼: https://docs.microsoft.com/en-us/aspnet/core/security/app-secrets?view=aspnetcore-3.1&tabs=windows
但是對於生產,我使用下面的抽象,並將我的具體代碼編寫為上述解決方案之一。
https://pbhadani.com/posts/google-secret-manager/
using System.Threading;
using System.Threading.Tasks;
public interface ISecretRetriever
{
Task<SecretModel> GetSecret(string secretName);
Task<SecretModel> GetSecret(string secretName, CancellationToken ct);
}
..
using System.Collections.Generic;
using System.Linq;
[System.Diagnostics.DebuggerDisplay("SecretName='{SecretName}', SubSecretsCount='{SubSecrets.Count}'")]
public class SecretModel
{
public SecretModel()
{
this.SubSecrets = new List<SubSecret>();
}
public string SecretName { get; set; }
public ICollection<SubSecret> SubSecrets { get; set; }
}
..
using System.Security;
[System.Diagnostics.DebuggerDisplay("KeyName = '{KeyName}', SecretValueLength='{null == SecretValue ? 0 : SecretValue.Length}'")]
public class SubSecret
{
public string KeyName { get; set; }
public SecureString SecretValue { get; set; }
}
然后您的 IoC 注冊將如下所示:
if (hostingEnvironment.IsDevelopment()) /* https://docs.microsoft.com/en-us/dotnet/api/microsoft.aspnetcore.hosting.hostingenvironmentextensions.isdevelopment?view=aspnetcore-3.1 */
{
/* code your LowerEnvironmentsInsecureSecretRetriever to https://docs.microsoft.com/en-us/aspnet/core/security/app-secrets?view=aspnetcore-3.1&tabs=windows */
services.AddSingleton<ISecretRetriever, LowerEnvironmentsInsecureSecretRetriever>();
}
else
{
/* code your HashicorpVaultSecretRetriever to HashicorpVault (or use a different one */
services.AddSingleton<ISecretRetriever, HashicorpVaultSecretRetriever>();
}
用戶密碼錯誤 (WCF):在 web.config 中未正確配置用戶密碼
[英]User Secret Error (WCF) : User secrets are not configured correctly in the web.config
.NET Core 2.1 上 AWS Secrets Manager GetSecretValueAsync 上的套接字異常
[英]Socket exception on AWS Secrets Manager GetSecretValueAsync on .NET Core 2.1
AWS Secrets Manager 中的 Azure Key Vault 參考等效項是什么?
[英]What is the Azure Key Vault reference equivalent in AWS Secrets Manager?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
使用 dotnet 5 訪問 GCP 機密管理器時出現問題
用戶密碼錯誤 (WCF):在 web.config 中未正確配置用戶密碼
無法從.net Core中的配置管理器獲取用戶機密
秘密經理交叉圖書館
列出KeyVault中的秘密而無需登錄每個秘密?
從 AWS Secret Manager 訪問密鑰
從Dotnet Google API獲取用戶電子郵件信息
如何以編程方式添加用戶機密?
.NET Core 2.1 上 AWS Secrets Manager GetSecretValueAsync 上的套接字異常
AWS Secrets Manager 中的 Azure Key Vault 參考等效項是什么?
相關標簽