Secret 管理 on Dapr 文档库

Secrets 管理概述

Mon, 01 Jan 0001 00:00:00 +0000

应用程序通常使用专用的 secret 存储来保存敏感信息。例如，您可以使用存储在 secret 存储中的连接字符串、密钥、令牌和其他应用程序级别的 secret 来对数据库、服务和外部系统进行身份验证，例如 AWS Secrets Manager, Azure Key Vault, Hashicorp Vault 等。

为了访问这些 secret 存储，应用程序需要导入 secret 存储的 SDK。在多云场景中，这种情况更具挑战性，因为可能会使用不同供应商特定的 secret 存储。

Secrets 管理 API

Dapr 的专用 secrets 构建块 API 使开发人员更容易从 secret 存储中使用应用程序 secret。要使用 Dapr 的 secret 存储构建块，您需要：

为特定的 secret 存储解决方案设置一个组件。
在应用程序代码中使用 Dapr secrets API 检索 secret。
可选地，在 Dapr 组件文件中引用 secret。

以下概述视频和演示展示了 Dapr secrets 管理的工作原理。

功能

Secrets 管理 API 构建块为您的应用程序带来了多种功能。

如何检索 Secret

Mon, 01 Jan 0001 00:00:00 +0000

在了解了Dapr Secret 构建块的功能后，接下来学习如何在服务中使用它。本指南将演示如何调用 Secret API，并从配置的 Secret 存储中将 Secret 检索到应用程序代码中。

提示

如果您还没有尝试过，请先查看 Secret 管理快速入门，以快速了解如何使用 Secret API。

配置 Secret 存储

在应用程序代码中检索 Secret 之前，您需要先配置一个 Secret 存储组件。此示例配置了一个使用本地 JSON 文件存储 Secret 的 Secret 存储。

警告

在生产环境中，不建议使用本地 Secret 存储。请查看其他安全管理 Secret 的方案。

在项目目录中，创建一个名为 secrets.json 的文件，内容如下：

{
 "secret": "Order Processing pass key"
}

创建一个名为 components 的新目录。进入该目录并创建一个名为 local-secret-store.yaml 的组件文件，内容如下：

apiVersion: dapr.io/v1alpha1
kind: Component
metadata:
 name: localsecretstore
spec:
 type: secretstores.local.file
 version: v1
 metadata:
 - name: secretsFile
 value: secrets.json  # Secret 文件的路径
 - name: nestedSeparator
 value: ":"

注意

Secret 存储 JSON 的路径是相对于您执行 dapr run 命令的位置。

更多信息：

如何使用：配置 secret 访问范围

Mon, 01 Jan 0001 00:00:00 +0000

当您为应用程序配置了 secret 存储后，Dapr 应用程序默认可以访问该存储中定义的所有 secret。

您可以通过在应用程序配置中定义 secret 访问范围策略，来限制 Dapr 应用程序对特定 secret 的访问权限。

secret 访问范围策略适用于任何secret 存储，包括：

本地 secret 存储
Kubernetes secret 存储
公有云 secret 存储

有关如何设置secret 存储的详细信息，请阅读如何：检索 secret。

观看此视频以了解如何在应用程序中使用 secret 访问范围的演示。

场景 1：拒绝访问 secret 存储中的所有 secret

在此示例中，所有 secret 访问都被拒绝给运行在 Kubernetes 集群上的应用程序，该集群配置了名为 mycustomsecretstore 的Kubernetes secret 存储。除了用户定义的自定义存储外，示例还配置了 Kubernetes 默认存储（名为 kubernetes），以确保所有 secret 都被拒绝访问。了解有关 Kubernetes 默认 secret 存储的更多信息。

定义以下 appconfig.yaml 配置，并使用命令 kubectl apply -f appconfig.yaml 将其应用于 Kubernetes 集群。