Richtige Strategie, um Geheimnisse in einer lokalen Go-Anwendung zu erhalten

php-Editor Banana bringt Ihnen einen Artikel über die richtige Strategie zum Erhalten von Geheimnissen in lokalen Go-Anwendungen. Bei der modernen Anwendungsentwicklung ist der Schutz der Sicherheit sensibler Informationen von entscheidender Bedeutung. In diesem Artikel werden einige wirksame Strategien vorgestellt, die Entwicklern dabei helfen, vertrauliche Informationen in nativen Go-Anwendungen korrekt abzurufen und zu verwenden, um die Vertraulichkeit und Integrität der Daten sicherzustellen. Unabhängig davon, ob es sich um Datenbankkennwörter, API-Schlüssel oder andere vertrauliche Informationen handelt, ist die ordnungsgemäße Handhabung und Speicherung von entscheidender Bedeutung für die Sicherheit Ihrer Anwendung. Tauchen wir ein in den sicheren Umgang mit vertraulichen Informationen!

Frageninhalt

Ein kleines Projekt auf aws abspielen:

• Golang-Anwendung
• rds/mysql-Datenbank
• Geheimer Manager
• API-Gateway und Lambda

Ich führe die Go-App lokal aus, um die Interaktion mit der Datenbank zu überprüfen, aber ich kann sie nicht mit dem Secret Manager zum Laufen bringen.

Verwenden Sie diesen Beispielcode:

func getcreds() {
    config, err := config.loaddefaultconfig(context.todo(), config.withregion(region))
    if err != nil {
        log.fatal(err)
    }

    svc := secretsmanager.newfromconfig(config)
    input := &secretsmanager.getsecretvalueinput{
        secretid:     aws.string(secretname),
        versionstage: aws.string("awscurrent"),
    }

    result, err := svc.getsecretvalue(context.todo(), input)
    if err != nil {
        log.fatal(err.error())
    }

    var secretstring string = *result.secretstring
    log.printf("pwd: %s", secretstring)
}

Ich verstehe

operation error secrets manager: getsecretvalue, exceeded maximum number of attempts, 3, failed to sign request: failed to retrieve credentials: failed to refresh cached credentials, no ec2 imds role found, operation error ec2imds

Wenn ich das richtig verstehe, muss ich dem Benutzer/der Richtlinie Berechtigungen hinzufügen. Aber wo soll man das hinzufügen? In der iam-Konsole? Oder die Secret-Manager-Konsole?

Was soll es sein?

{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Principal": {"AWS": "<what to add here>"},
            "Resource": "<and here>"
        }
    ]
}

Workaround

go-Anwendung kann keine Anmeldeinformationen für die Verwendung der AWS-API finden.

Gemäß (Anmeldeinformationen konfigurieren) können Sie diesen Code verwenden, um ~/.aws/config automatisch als lokale Anmeldeinformationen zu verwenden

sess := session.must(session.newsessionwithoptions(session.options{
    sharedconfigstate: session.sharedconfigenable,
}))

Wenn Sie eine benutzerdefinierte Konfiguration bereitstellen, müssen Sie Anmeldeinformationen angeben. Es gibt andere Methoden. Wählen Sie diejenige aus, die für Sie am besten geeignet ist. aws hat die obige Methode vorgeschlagen.

Dazu gehört auch das Laufen mit Ihren Benutzern. Für die AWS-Ausführung müssen Sie der Lambda-Funktion Zugriff auf den Schlüssel gewähren:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-west-2:111122223333:secret:aes128-1a2b3c"
            ]
        }
}

Die obige Strategie muss auf die IAM-Rolle angewendet werden, die zum Ausführen des Lambda verwendet wird. Sie finden die Rollen aws-Konsole -> Ihre Lambda-Berechtigungen ->

Das obige ist der detaillierte Inhalt vonRichtige Strategie, um Geheimnisse in einer lokalen Go-Anwendung zu erhalten. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!