跨各種環境管理 API 金鑰、令牌和憑證等敏感資料可能非常棘手,尤其是在開發和部署應用程式時。確保秘密在需要時安全地儲存和獲取,而不是將它們硬編碼到版本控制中,對於維護安全性至關重要。
這就是我創建Secrets Loader 的原因,這是一個Bash 腳本,可以動態地將AWS SSM 和CloudFormation 中的金鑰直接提取到您的.env 檔案中,從而使本地開發和部署更輕鬆、更安全、更有效率。
Secrets Loader 是一個簡單的工具,旨在根據 .env 檔案中的自訂語法自動從 AWS SSM Parameter Store 和 AWS CloudFormation 輸出中取得金鑰。它用實際秘密替換佔位符,而不會在版本控制中暴露敏感資訊。
例如,您無需對 API 金鑰或憑證進行硬編碼,而是在 .env 檔案中定義它們,如下所示:
THIRD_PARTY_API_KEY="ssm:/third-party/api/key" AWS_ACCESS_KEY_ID="cf:my-stack:AccessKeyId"
只需一個命令,Secrets Loader 即可從 AWS 取得實際值並更新您的 .env 文件,從而確保敏感資訊的安全且易於管理。
在本地開發和部署期間,我發現自己正在處理敏感憑證,我不想將這些憑證硬編碼到專案文件中。在廣泛使用 AWS 服務後,我想要一種將秘密管理整合到我現有的開發工作流程中的方法,而不需要太多麻煩。
以下是 Secrets Loader 解決的主要挑戰:
Secrets Loader 具有一些關鍵功能,使其成為本地開發和生產環境的便利工具:
Secrets Loader 的神奇之處在於它能夠根據特定前綴(ssm: 和 cf:)從 AWS 取得機密。這是一個範例工作流程:
使用 SSM 參數的 ssm: 前綴或 CloudFormation 輸出的 cf: 前綴在 .env 檔案中加入機密佔位符:
THIRD_PARTY_API_KEY="ssm:/third-party/api/key" AWS_SECRET_ACCESS_KEY="cf:my-stack:SecretAccessKey"
使用以下命令執行腳本並取得機密:
./secrets.sh
執行腳本後,您的 .env 檔案將使用從 AWS 取得的實際值進行更新:
THIRD_PARTY_API_KEY=actual-api-key-value AWS_SECRET_ACCESS_KEY=actual-access-key-value
不再需要硬編碼秘密,也不再需要手動查找!
準備好開始了嗎?以下是您在專案中設定 Secrets Loader 的方法:
git clone https://github.com/Thavarshan/secretst-loader.git cd secretst-loader
chmod +x secrets.sh
如果您尚未安裝 AWS CLI,請依照 AWS CLI 安裝指南進行操作。安裝後,配置您的 AWS 憑證:
aws configure
使用 ssm: 和 cf: 字首來定義秘密的來源:
THIRD_PARTY_API_KEY="ssm:/third-party/api/key" AWS_ACCESS_KEY_ID="cf:my-stack:AccessKeyId"
讓我們來看一個簡單的例子:
# Application settings APP_NAME=MyApp APP_ENV=production # Secrets fetched from AWS SSM and CloudFormation THIRD_PARTY_API_KEY="ssm:/third-party/api/key" AWS_SECRET_ACCESS_KEY="cf:my-stack:SecretAccessKey"
./secrets.sh
# Application settings APP_NAME=MyApp APP_ENV=production # Fetched secrets THIRD_PARTY_API_KEY=actual-api-key-value AWS_SECRET_ACCESS_KEY=actual-secret-access-key
If you encounter any issues while using Secrets Loader, here are a few things to check:
AWS Permissions: Ensure that the AWS CLI is configured correctly and that your IAM role or user has sufficient permissions to access AWS SSM and CloudFormation secrets.
Syntax Errors: Double-check the syntax in your .env file to make sure the ssm: and cf: prefixes are correct.
Script Errors: If the script fails to fetch certain secrets, it will log warnings but continue fetching the others. Review the logs for any error messages and make sure the AWS resources exist and are accessible.
The script is designed to be extensible. If you'd like to integrate other secret management systems (like Azure Key Vault or HashiCorp Vault), you can easily modify the script to support new prefixes and fetch logic.
For example, you could add an azkv: prefix to fetch secrets from Azure Key Vault and handle the retrieval using the Azure CLI.
Secrets Loader is open-source, and contributions are always welcome! If you'd like to add features, fix bugs, or suggest improvements, feel free to:
If you're tired of manually managing secrets across environments, Secrets Loader is a simple, effective tool to streamline the process. By fetching secrets dynamically from AWS SSM and CloudFormation, you can securely manage your credentials without risking exposure in version control.
Check out the project on GitHub, give it a try, and if you find it useful, give us a ⭐ on GitHub! Your support helps the project grow, and we'd love to hear your feedback or see your contributions to its ongoing development.
以上是使用 Secrets Loader 輕鬆管理 Laravel 和 JS 項目的詳細內容。更多資訊請關注PHP中文網其他相關文章!