Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ Data Encryption Workshop/ Prácticas recomendadas/ Cloud Secret Management Service/ Rotación de secretos/ Rotación de un secreto para un usuario
Actualización más reciente 2024-09-13 GMT+08:00
Ver PDF
Compartir

Rotación de un secreto para un usuario

Descripción general

Puede actualizar la información de un usuario en un secreto.

Esta política de rotación de secreto es la más utilizada.

Ejemplo:

  • Para acceder a la base de datos, no se elimina una conexión de base de datos durante la rotación de secreto. Después de la rotación, las nuevas conexiones utilizan los nuevos secretos.
  • Un usuario puede crear una cuenta, por ejemplo, utilizando una dirección de correo electrónico como nombre de usuario. Por lo general, los usuarios pueden cambiar las contraseñas según sea necesario, pero no pueden crear otros usuarios ni cambiar nombres de usuario.
  • Los usuarios temporales se crean en el momento en que se necesitan.
  • Las contraseñas son introducidas por los usuarios, no recuperadas de CSMS por las aplicaciones. Estos usuarios no necesitan cambiar sus nombres de usuario o contraseñas.

Restricciones

Asegúrese de que su cuenta tenga permiso de KMS Administrator o de KMS CMKFullAccess. Para obtener más detalles, consulte Gestión de permisos de DEW.

API de rotación de secreto

Puede invocar a las siguientes API para rotar secretos localmente.

API

Descripción

Creación de una versión de secreto

Crear una versión de secreto.

Consulta de la versión y el valor de del secreto

La información sobre una versión del secreto específica y el valor del secreto de texto plano de la versión.

Ejemplo de rotación del secreto de la cuenta única

  1. Cree un secreto en la consola de Huawei Cloud. Para obtener más detalles, consulte Creación de un secreto.
  2. Prepare la información básica de autenticación.
    • ACCESS_KEY: Clave de acceso de la cuenta de Huawei
    • SECRET_ACCESS_KEY: Clave de acceso secreta de la cuenta de Huawei
    • PROJECT_ID: ID de proyecto de un sitio de Huawei Cloud. Para obtener más detalles, véase Proyecto.
    • CSMS_ENDPOINT: punto de conexión para acceder al CSMS. Consulte Puntos de conexión para obtener más detalles.
    • Habrá riesgos de seguridad si la AK/SK utilizada para la autenticación se escribe directamente en el código. Cifre la AK/SK en el archivo de configuración o en las variables de entorno para su almacenamiento.
    • En este ejemplo, las AK/SK almacenadas en las variables de entorno se utilizan para la autenticación de identidad. Primero configure las variables de entorno HUAWEICLOUD_SDK_AK y HUAWEICLOUD_SDK_SK en el entorno local.
  3. Rotación del secreto de un usuario.

    En el ejemplo de código,

    • secretName indica el nombre del secreto creado en la consola de Huawei Cloud.
    • secretString indica el valor guardado en el secreto creado en la consola de Huawei Cloud.
    • versionId indica el ID del secreto generado automáticamente después de crear un secreto en la consola de Huawei Cloud.
    • LATEST_VERSION indica la versión del secreto. 
      import com.huaweicloud.sdk.core.auth.BasicCredentials;
import com.huaweicloud.sdk.csms.v1.CsmsClient;
import com.huaweicloud.sdk.csms.v1.model.CreateSecretVersionRequest;
import com.huaweicloud.sdk.csms.v1.model.CreateSecretVersionRequestBody;
import com.huaweicloud.sdk.csms.v1.model.CreateSecretVersionResponse;
import com.huaweicloud.sdk.csms.v1.model.ShowSecretVersionRequest;
import com.huaweicloud.sdk.csms.v1.model.ShowSecretVersionResponse;

public class CsmsSingleAccountExample {
    /**
     * Basic authentication information:
     * - ACCESS_KEY: Access key of the Huawei account
     * - SECRET_ACCESS_KEY: Secret access key of the Huawei account
     * - PROJECT_ID: Huawei Cloud project ID. For details, see https://support.huaweicloud.com/intl/en-us/productdesc-iam/iam_01_0023.html
* - CSMS_ENDPOINT: endpoint address for accessing CSMS. For details, see https://support.huaweicloud.com/intl/en-us/api-dew/dew_02_0052.html.
     * - There will be security risks if the AK/SK used for authentication is directly written into code. Encrypt the AK/SK in the configuration file or environment variables for storage.
     * - In this example, the AK/SK stored in the environment variables are used for identity authentication. Configure the environment variables HUAWEICLOUD_SDK_AK and HUAWEICLOUD_SDK_SK in the local environment first.
     */    
    private static final String ACCESS_KEY = System.getenv("HUAWEICLOUD_SDK_AK");
    private static final String SECRET_ACCESS_KEY = System.getenv("HUAWEICLOUD_SDK_SK");
    private static final String PROJECT_ID = "<ProjectID>";
    private static final String CSMS_ENDPOINT = "<CsmsEndpoint>";
    //Version ID used to query the latest secret version details.
    private static final String LATEST_VERSION = "latest";
    public static void main(String[] args) {
        String secretName = args[0];
        String secretString = args[1];
        singleAccountRotation(secretName, secretString);
    }

    /**
     * Example: secret rotation for a single account
     *
     * @param secretName   Secret name
     * @param secretString Secret content
     */
    private static void singleAccountRotation(String secretName, String secretString) {
        //Host the new secret in CSMS.
        createNewSecretVersion(secretName, secretString);
        //Query the secret of the latest version based on the secret version latest.
        ShowSecretVersionResponse secretResponseByLatest = showSecretVersionDetail(secretName, LATEST_VERSION);
        assert secretResponseByLatest.getVersion().getSecretString().equals(secretString);
    }

    /**
     * Example of creating a secret
     * If a secret version is added without version status, the program points the SYSCURRENT version status to the version by default.
     *
     * @param secretName   Secret name
     * @param secretString Secret content
     * @return
     */
    private static CreateSecretVersionResponse createNewSecretVersion(String secretName, String secretString) {
        CsmsClient csmsClient = getCsmsClient();

        CreateSecretVersionRequest createSecretVersionRequest = new CreateSecretVersionRequest()
                .withSecretName(secretName)
                .withBody(new CreateSecretVersionRequestBody().withSecretString(secretString));

        CreateSecretVersionResponse secretVersion = csmsClient.createSecretVersion(createSecretVersionRequest);

        System.out.printf("Created new version success, version id:%s", secretVersion.getVersionMetadata().getId());
        return secretVersion;
    }
    /**
     * Query the secret of a specified version.
     *
     * @param secretName Secret name
     * @param versionId  Secret_version_ID
     * @return
     */
    private static ShowSecretVersionResponse showSecretVersionDetail(String secretName, String versionId) {
        ShowSecretVersionRequest showSecretVersionRequest = new ShowSecretVersionRequest().withSecretName(secretName)
                .withVersionId(versionId);
        CsmsClient csmsClient = getCsmsClient();
        ShowSecretVersionResponse secretDetail = csmsClient.showSecretVersion(showSecretVersionRequest);
        System.out.printf("Query latest version success. version id:%s",
secretDetail.getVersion().getVersionMetadata().getId());
        return secretDetail;
    }
    /**
     * Obtain the CSMS client.
     *
     * @return
     */
    private static CsmsClient getCsmsClient() {
        BasicCredentials auth = new BasicCredentials()
                .withAk(ACCESS_KEY)
                .withSk(SECRET_ACCESS_KEY)
                .withProjectId(PROJECT_ID);
        return CsmsClient.newBuilder().withCredential(auth).withEndpoint(CSMS_ENDPOINT).build();
    }
}
Tema principal: Rotación de secretos