文档首页> 云容器引擎 CCE> 最佳实践> 安全> 密钥Secret安全配置
更新时间:2022-05-10 GMT+08:00
分享

密钥Secret安全配置

当前CCE已为secret资源配置了静态加密,用户创建的secret在CCE的集群的etcd里会被加密存储。当前secret主要有环境变量和文件挂载两种使用方式。不论使用哪种方式,CCE传递给用户的仍然是用户配置时的数据。因此建议:

  1. 用户不应在日志中对相关敏感信息进行记录;
  2. 通过文件挂载的方式secret时,默认在容器内映射的文件权限为0644,建议为其配置更严格的权限,例如:

    其中“defaultMode: 256”,256为10进制,对应八进制的0400权限。

  3. 使用文件挂载的方式时,通过配置secret的文件名实现文件在容器中“隐藏”的效果:

    这样.secret-file目录在/etc/secret-volume/路径下通过“ls -l”查看不到,但可以通过“ls -al”查看到。

  4. 用户应在创建secret前自行加密敏感信息,使用时解密。
分享:

    相关文档

    相关产品

close