Што је већа употреба технологије, то је већа могућа опасност по безбедност. Типично постављање Ансибле захтева да унесете „тајне“. Те тајне могу бити дословно било шта, лозинке, АПИ токени, ССХ јавни или приватни кључеви, ССЛ сертификати итд. Како чувамо ове тајне? Ансибле нуди функцију названу Ансибле Ваулт.
На овом блогу ћу показати како се користи Ансибле Ваулт и истражити неке од најбољих пракси за заштиту података.
Теме обрађене на овом блогу:
- Шта је Ансибле Ваулт?
- Зашто користити Ансибле Ваулт?
- Креирање шифроване датотеке
- Уређивање шифрованих датотека
- Преглед шифроване датотеке
- Поновно уношење лозинке трезора
- Шифровање нешифрованих датотека
- Дешифровање шифрованих датотека
- Шифровање одређених променљивих
- Дешифровање шифрованих датотека током извођења
- Коришћењем ИД-а трезора
Ако желите да савладате ДевОпс, ' курс би био ваша опција за одлазак.
Шта је Ансибле Ваулт?
Поседовање инфраструктуре као кода може представљати претњу излагању ваших осетљивих података свету, што доводи до нежељених безбедносних проблема. Ансибле Ваулт је функција која вам омогућава да сачувате све своје тајне. Може да шифрује читаве датотеке, читаве ИАМЛ књиге за репродукцију или чак неколико променљивих. Пружа могућност у којој можете не само да шифрујете осетљиве податке, већ и да их интегришете у своје књиге.
Трезор је имплементиран са грануларношћу на нивоу датотеке где су датотеке у потпуности шифриране или потпуно нешифриране. Користи исту лозинку за шифровање као и за дешифровање датотека што употребу Ансибле Ваулт чини врло једноставном за употребу.
Зашто користити Ансибле Ваулт?
Како се Ансибле користи за аутоматизацију, велика је вероватноћа да књиге за репродукцију садрже одређене акредитиве, ССЛ сертификате или друге осетљиве податке. Чување тако осетљивих података као што је обичан текст је лоша идеја. Једна погрешна предаја ГитХуб-у или крађа преносног рачунара може проузроковати огроман губитак организације. Овде се појављује трезор Ансибле. То је сјајан начин да се инфраструктура користи као код, без угрожавања сигурности.
Претпоставимо да имамо књигу приручника која пружа вашу ЕЦ2 инстанцу на АВС. У приручнику морате да наведете свој ИД приступног кључа АВС и тајни кључ АВС. Ове кључеве не делите са другима из очигледних разлога. Како их задржати неекспонираним? Постоје два начина - или ове две променљиве шифрујте и уградите у књигу песама или шифру читаву књигу песама.
Ово је био само један од сценарија у којем се може користити ансибле трезор. Можемо шифровати читаве датотеке или само шифровати неколико променљивих у којима се могу налазити осетљиви подаци, а затим их Ансибле аутоматски дешифрује током извођења. Сада можемо безбедно да доделимо ове вредности ГитХуб-у.
Креирање шифроване датотеке
Да бисте креирали шифровану датотеку, користите ансибле-ваулт створити наредбу и проследите име датотеке.
$ ансибле-ваулт креира име датотеке.иамлОд вас ће бити затражено да направите лозинку, а затим је потврдите поновним уносом.
Када се лозинка потврди, створиће се нова датотека која ће отворити прозор за уређивање. Подразумевано је едитор за Ансибле Ваулт ви. Можете да додате податке, сачувате и изађете.
Уређивање шифрованих датотека
Ако желите да уредите шифровану датотеку, можете је уредити помоћу ансибле-ваулт едит команда.
$ ансибле-ваулт едит сецретс.тктГде је сецретс.ткт већ креирана, шифрована датотека.
Од вас ће се затражити да унесете лозинку сефа. Датотека (дешифрована верзија) отвориће се у уређивачу ви и тада можете извршити потребне промене.
Ако проверите излаз, видећете да ће се ваш текст аутоматски шифровати када сачувате и затворите.
Преглед шифроване датотеке
Ако желите само да прегледате шифровану датотеку, можете да користите поглед на анзибилни свод команда.
$ ансибле-ваулт приказ имена датотеке.имлОпет ћете затражити лозинку.
Поновно уношење лозинке трезора
Наравно, понекад ћете желети да промените лозинку сефа. Можете користити ансибле-ваулт рекеи команда.
$ ансибле-ваулт рекеи сецретс.тктОд вас ће се затражити тренутна лозинка трезора, а затим нова лозинка и на крају завршите потврђивањем нове лозинке.
Шифровање нешифрованих датотека
Претпоставимо да имате датотеку коју желите да шифрирате, можете да користите шифрирање трезора ансибле команда.
$ ансибле-ваулт шифрирање име датотеке.тктОд вас ће бити затражено да унесете и потврдите лозинку и датотека је шифрована.
Сад кад погледате садржај датотеке, сав је шифрован.
Дешифровање шифрованих датотека
Ако желите да дешифрујете шифровану датотеку, можете да користите дешифровање ансибле-свод команда.
$ ансибле-ваулт дешифрује име датотеке.тктКао и обично, од вас ће бити затражено да убаците и потврдите лозинку трезора.
Шифровање одређених променљивих
Најбоља пракса током коришћења Ансибле Ваулт-а је шифровање само осетљивих података. У претходно објашњеном примеру, развојни тим не жели да дели лозинку са продукцијским и припремним тимом, али ће им можда требати приступ одређеним подацима да би извршили свој задатак. У таквим случајевима треба да шифрирате само податке које не желите да делите са другима, а остатак остављате онаквим какав јесте.
Ансибле Ваулт вам омогућава да шифрирате само одређене променљиве. Можете користити ансибле-ваулт енцрипт_стринг команда за ово.
$ ансибле-ваулт енцрипт_стрингОд вас ће се затражити да убаците и потврдите лозинку трезора. Затим можете започети уметање вредности низа коју желите да шифрирате. Притисните цтрл-д да бисте завршили унос. Сада ово можете доделити шифрованомвредностдо низа у књизи игара.
Такође можете постићи исто у једном реду.
$ ансибле-ваулт енцрипт_стринг 'стринг' --наме 'име_променљиве'Дешифровање шифрованих датотека током извођења
Ако желите да дешифрујете датотеку током извођења, можете да користите –Аск-свод-пролаз застава.
$ ансибле-плаибоок лаунцх.имл --аск-ваулт-пассОво ће дешифровати све шифроване датотеке које се користе за извршавање ове књиге плаи.имл. Такође, ово је могуће само ако су све датотеке шифроване истом лозинком.
Упити за лозинку могу постати досадни. Сврха аутоматизације постаје бесмислена. Како да ово учинимо бољим? Ансибле има функцију која се назива „датотека лозинке“ која упућује на датотеку која садржи лозинку. Затим можете само проследити ову датотеку лозинке током извођења да бисте је аутоматизовали.
$ ансибле-плаибоок лаунцх.имл --ваулт-пассворд-филе ~ / .ваулт_пасс.тктТакође је могуће имати засебну скрипту која наводи лозинке. Морате бити сигурни да је датотека скрипте извршна и да се лозинка штампа на стандардни излаз да би могла да функционише без досадних грешака.
$ ансибле-плаибоок лаунцх.имл --ваулт-пассворд-филе ~ / .ваулт_пасс.пиКоришћењем ИД-а трезора
Ид трезора је начин пружања идентификатора одређеној лозинци трезора. Ваулт ИД помаже у шифровању различитих датотека са различитим лозинкама на које се референцира унутар плаибоок-а. Ова карактеристика Ансибле-а се појавила издавањем Ансибле 2.4. Пре овог издања, само једна лозинка за трезор могла је да се користи у сваком извршавању књиге одговора.
Дакле, ако желите да извршите Ансибле плаибоок који користи више датотека шифрованих различитим лозинкама, можете да користите Ваулт Ид.
$ ансибле-плаибоок --ваулт-ид трезор-пасс1 --ваулт-ид трезор-пасс2 име датотеке.имлОвим смо дошли до краја овог блога Ансибле Ваулт. Невероватно је достићи технологију и искористити је у потпуности, али не компромитујући се у погледу безбедности. Ово је један од најбољих начина да се инфраструктура користи као код (ИаЦ).
шта је кувар и лутка
Ако вам је овај чланак користан, погледајте ' нуди Едурека. Обухвата све алате који су ИТ индустрију учинили паметнијом.
Имате питање за нас? Молим вас објавите на и јавићемо вам се.