使用 Secrets Loader 輕鬆管理 Laravel 和 JS 項目

跨各種環境管理 API 金鑰、令牌和憑證等敏感資料可能非常棘手，尤其是在開發和部署應用程式時。確保秘密在需要時安全地儲存和獲取，而不是將它們硬編碼到版本控制中，對於維護安全性至關重要。

這就是我創建Secrets Loader 的原因，這是一個Bash 腳本，可以動態地將AWS SSM 和CloudFormation 中的金鑰直接提取到您的.env 檔案中，從而使本地開發和部署更輕鬆、更安全、更有效率。

---

什麼是秘密加載器？

Secrets Loader 是一個簡單的工具，旨在根據 .env 檔案中的自訂語法自動從 AWS SSM Parameter Store 和 AWS CloudFormation 輸出中取得金鑰。它用實際秘密替換佔位符，而不會在版本控制中暴露敏感資訊。

例如，您無需對 API 金鑰或憑證進行硬編碼，而是在 .env 檔案中定義它們，如下所示：

THIRD_PARTY_API_KEY="ssm:/third-party/api/key"
AWS_ACCESS_KEY_ID="cf:my-stack:AccessKeyId"

只需一個命令，Secrets Loader 即可從 AWS 取得實際值並更新您的 .env 文件，從而確保敏感資訊的安全且易於管理。

---

我為什麼要建造它

在本地開發和部署期間，我發現自己正在處理敏感憑證，我不想將這些憑證硬編碼到專案文件中。在廣泛使用 AWS 服務後，我想要一種將秘密管理整合到我現有的開發工作流程中的方法，而不需要太多麻煩。

以下是 Secrets Loader 解決的主要挑戰：

1. 避免硬編碼秘密：不再將秘密提交給版本控制。您可以安全地使用佔位符並從 AWS SSM 和 CloudFormation 動態取得實際值。
2. 減少手動工作：無需手動複製和貼上秘密值，只需在 .env 檔案中定義一次，然後讓腳本執行提取操作。
3. 簡化機密管理：無論您是在本地開發、登台還是生產，Secrets Loader 都能確保安全、自動載入機密。

---

特徵

Secrets Loader 具有一些關鍵功能，使其成為本地開發和生產環境的便利工具：

• 自動秘密載入：透過在 .env 檔案中指定路徑從 AWS SSM Parameter Store 和 CloudFormation 取得秘密。
• 安全第一的方法：透過在運行時安全地載入敏感數據，使敏感資料脫離版本控制。
• 簡單語法：在 .env 檔案中使用自訂語法（ssm：用於 SSM 參數，cf：用於 CloudFormation 輸出）來指定機密應來自何處。
• 錯誤處理：即使一次檢索失敗，腳本也會繼續處理其他機密，並在不停止工作流程的情況下記錄警告。

---

它是如何運作的

Secrets Loader 的神奇之處在於它能夠根據特定前綴（ssm: 和 cf:）從 AWS 取得機密。這是一個範例工作流程：

1. 設定您的 .env 檔案:

使用 SSM 參數的 ssm: 前綴或 CloudFormation 輸出的 cf: 前綴在 .env 檔案中加入機密佔位符：

   THIRD_PARTY_API_KEY="ssm:/third-party/api/key"
   AWS_SECRET_ACCESS_KEY="cf:my-stack:SecretAccessKey"

1. 運行腳本:

使用以下命令執行腳本並取得機密：

   ./secrets.sh

1. 更新的 .env 檔案：

執行腳本後，您的 .env 檔案將使用從 AWS 取得的實際值進行更新：

   THIRD_PARTY_API_KEY=actual-api-key-value
   AWS_SECRET_ACCESS_KEY=actual-access-key-value

不再需要硬編碼秘密，也不再需要手動查找！

---

安裝與設定

準備好開始了嗎？以下是您在專案中設定 Secrets Loader 的方法：

1. 克隆儲存庫：

   git clone https://github.com/Thavarshan/secretst-loader.git
   cd secretst-loader

1. 使腳本可執行：

   chmod +x secrets.sh

1. 確保已安裝並設定 AWS CLI:

如果您尚未安裝 AWS CLI，請依照 AWS CLI 安裝指南進行操作。安裝後，配置您的 AWS 憑證：

   aws configure

1. 在 .env 定義你的秘密:

使用 ssm: 和 cf: 字首來定義秘密的來源：

   THIRD_PARTY_API_KEY="ssm:/third-party/api/key"
   AWS_ACCESS_KEY_ID="cf:my-stack:AccessKeyId"

---

用法範例

讓我們來看一個簡單的例子：

.env.example File:

# Application settings
APP_NAME=MyApp
APP_ENV=production

# Secrets fetched from AWS SSM and CloudFormation
THIRD_PARTY_API_KEY="ssm:/third-party/api/key"
AWS_SECRET_ACCESS_KEY="cf:my-stack:SecretAccessKey"

Running Secrets Loader:

./secrets.sh

Updated .env File:

# Application settings
APP_NAME=MyApp
APP_ENV=production

# Fetched secrets
THIRD_PARTY_API_KEY=actual-api-key-value
AWS_SECRET_ACCESS_KEY=actual-secret-access-key

---

Troubleshooting

If you encounter any issues while using Secrets Loader, here are a few things to check:

1. AWS Permissions: Ensure that the AWS CLI is configured correctly and that your IAM role or user has sufficient permissions to access AWS SSM and CloudFormation secrets.

2. Syntax Errors: Double-check the syntax in your .env file to make sure the ssm: and cf: prefixes are correct.

3. Script Errors: If the script fails to fetch certain secrets, it will log warnings but continue fetching the others. Review the logs for any error messages and make sure the AWS resources exist and are accessible.

---

Extending Secrets Loader

The script is designed to be extensible. If you'd like to integrate other secret management systems (like Azure Key Vault or HashiCorp Vault), you can easily modify the script to support new prefixes and fetch logic.

For example, you could add an azkv: prefix to fetch secrets from Azure Key Vault and handle the retrieval using the Azure CLI.

---

Contributing

Secrets Loader is open-source, and contributions are always welcome! If you'd like to add features, fix bugs, or suggest improvements, feel free to:

• Open an issue: Share your feedback or bug reports.
• Submit a pull request: Contribute code by following our CONTRIBUTING guidelines.

---

Conclusion

If you're tired of manually managing secrets across environments, Secrets Loader is a simple, effective tool to streamline the process. By fetching secrets dynamically from AWS SSM and CloudFormation, you can securely manage your credentials without risking exposure in version control.

Check out the project on GitHub, give it a try, and if you find it useful, give us a ⭐ on GitHub! Your support helps the project grow, and we'd love to hear your feedback or see your contributions to its ongoing development.

以上是使用 Secrets Loader 輕鬆管理 Laravel 和 JS 項目的詳細內容。更多資訊請關注PHP中文網其他相關文章！