首页 >后端开发 >Golang >在本地 go 应用程序上获取机密的正确策略

在本地 go 应用程序上获取机密的正确策略

WBOY
WBOY转载
2024-02-08 22:42:081138浏览

在本地 go 应用程序上获取机密的正确策略

php小编香蕉为您带来一篇关于本地Go应用程序获取机密的正确策略的文章。在现代应用程序开发中,对于保护敏感信息的安全性至关重要。本文将分享一些有效的策略,帮助开发人员在本地Go应用程序中正确地获取和使用机密信息,确保数据的保密性和完整性。无论是数据库密码、API密钥还是其他敏感信息,正确的处理和存储是保障应用程序安全的关键。让我们一起深入探讨如何安全地处理机密信息吧!

问题内容

在 aws 上玩一个小项目:

  • golang 应用
  • rds/mysql 数据库
  • 秘密经理
  • api 网关和 lambda

我在本地运行 go 应用程序来验证与数据库的交互,但我无法让它与秘密管理器一起工作。

使用此示例代码:

func getcreds() {
    config, err := config.loaddefaultconfig(context.todo(), config.withregion(region))
    if err != nil {
        log.fatal(err)
    }

    svc := secretsmanager.newfromconfig(config)
    input := &secretsmanager.getsecretvalueinput{
        secretid:     aws.string(secretname),
        versionstage: aws.string("awscurrent"),
    }

    result, err := svc.getsecretvalue(context.todo(), input)
    if err != nil {
        log.fatal(err.error())
    }

    var secretstring string = *result.secretstring
    log.printf("pwd: %s", secretstring)
}

我懂了

operation error secrets manager: getsecretvalue, exceeded maximum number of attempts, 3, failed to sign request: failed to retrieve credentials: failed to refresh cached credentials, no ec2 imds role found, operation error ec2imds

如果我理解正确的话,我需要向用户/策略添加权限。但是在哪里添加这个呢?在 iam 控制台中?或者秘密管理器控制台?

它应该是什么?

{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Principal": {"AWS": "<what to add here>"},
            "Resource": "<and here>"
        }
    ]
}

解决方法

go 应用程序找不到使用 aws api 的凭证。

根据(配置凭证),您可以使用此自动使用 ~/.aws/config 作为本地凭证的代码

sess := session.must(session.newsessionwithoptions(session.options{
    sharedconfigstate: session.sharedconfigenable,
}))

如果您提供自定义配置,则必须提供凭据。还有其他的方法,选择一个适合你的。 aws 提出了上述方法.

这包括与您的用户一起运行。对于 aws 执行,您需要授予 lambda 函数对密钥的访问权限:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes128-1a2b3c"
            ]
        }
}

上述策略必须应用于执行 lambda 所使用的 iam 角色。您可以找到角色 aws 控制台 -> lambda -> 您 lambda -> 配置 -> 权限 -> 执行角色

以上是在本地 go 应用程序上获取机密的正确策略的详细内容。更多信息请关注PHP中文网其他相关文章!

声明:
本文转载于:stackoverflow.com。如有侵权,请联系admin@php.cn删除