Rotação de um segredo para dois usuários

Visão geral

Você pode atualizar as informações de dois usuários em um segredo.

Por exemplo, se a sua aplicação exigir alta disponibilidade e você executar a rotação de usuário único, poderá não conseguir acessar a aplicação ao alterar a senha do usuário e atualizar o conteúdo de segredo. Nesse caso, você precisa usar a política de rotação de segredos para vários usuários.

Você deve ter uma conta, por exemplo, Admin, que tenha permissão para criar e alterar as senhas de user1 e user2. Primeiro, crie um segredo, crie e salve a conta e a senha de user1 e registre-as como user1/password1. Em seguida, crie user2 adicionando a versão de segredo v2 e salve a senha de user2 como user2/password2. Se você alterar a senha de user1, será necessário adicionar a versão de segredo v3 e registrá-la como user1/password3. Quando a versão de segredo v3 está sendo criada, a aplicação usa a versão de segredo v2 existente para obter informações. Quando a v3 estiver pronta, a tag de armazenamento temporário será alterada e a aplicação poderá usar a v3 para obter informações.

Restrições

Verifique se sua conta tem a permissão KMS Administrator ou KMS CMKFullAccess. Para obter detalhes, consulte Gerenciamento de permissões do DEW.

APIs de rotação de segredos

Você pode chamar as seguintes APIs para rotacionar segredos localmente.

Exemplo de rotação de segredo de conta dupla

1. Crie um segredo no console da HUAWEI CLOUD como administrador. Para obter detalhes, consulte Criação de um segredo.
2. Prepare informações básicas de autenticação.
   • ACCESS_KEY: chave de acesso da conta de Huawei
   • SECRET_ACCESS_KEY: chave de acesso de segredo da conta de Huawei
   • PROJECT_ID: ID do projeto de um site da HUAWEI CLOUD. Para obter detalhes, consulte Projeto.
   • CSMS_ENDPOINT: ponto de extremidade para acessar o CSMS. Para obter detalhes, consulte Pontos de extremidade.
   • Haverá riscos de segurança se a AK/SK usada para autenticação for gravada diretamente no código. Criptografe a AK/SK no arquivo de configuração ou nas variáveis de ambiente para armazenamento.
   • Neste exemplo, a AK/SK armazenada nas variáveis de ambiente é usada para autenticação de identidade. Configure as variáveis de ambiente HUAWEICLOUD_SDK_AK e HUAWEICLOUD_SDK_SK primeiro no ambiente local.
3. Rotacione o segredo para dois usuários.

   No código de exemplo,

   • secretName indica o nome do segredo criado no console da Huawei Cloud.
   • secretString indica o valor salvo no segredo criado no console da Huawei Cloud.
   • versionId indica o ID de segredo gerado automaticamente depois que um segredo é criado no console da Huawei Cloud.
   • LATEST_VERSION indica a versão de segredo.

     import com.huaweicloud.sdk.core.auth.BasicCredentials;
     import com.huaweicloud.sdk.csms.v1.CsmsClient;
     import com.huaweicloud.sdk.csms.v1.model.CreateSecretVersionRequest;
     import com.huaweicloud.sdk.csms.v1.model.CreateSecretVersionRequestBody;
     import com.huaweicloud.sdk.csms.v1.model.CreateSecretVersionResponse;
     import com.huaweicloud.sdk.csms.v1.model.ListSecretStageRequest;
     import com.huaweicloud.sdk.csms.v1.model.ListSecretStageResponse;
     import com.huaweicloud.sdk.csms.v1.model.ShowSecretVersionRequest;
     import com.huaweicloud.sdk.csms.v1.model.ShowSecretVersionResponse;
     import com.huaweicloud.sdk.csms.v1.model.UpdateSecretStageRequest;
     import com.huaweicloud.sdk.csms.v1.model.UpdateSecretStageRequestBody;
     
     import java.util.Collections;
     import java.util.List;
     
     public class CsmsDualAccountExample {
         /**
          * Basic authentication information:
          * - ACCESS_KEY: Access key of the Huawei account
          * - SECRET_ACCESS_KEY: Secret access key of the Huawei account
          * - PROJECT_ID: Huawei Cloud project ID. For details, see https://support.huaweicloud.com/intl/pt-br/productdesc-iam/iam_01_0023.html
     * - CSMS_ENDPOINT: endpoint address for accessing CSMS. For details, see https://support.huaweicloud.com/intl/pt-br/api-dew/dew_02_0052.html.
          * - There will be security risks if the AK/SK used for authentication is directly written into code. Encrypt the AK/SK in the configuration file or environment variables for storage;
          * - In this example, the AK/SK stored in the environment variables are used for identity authentication. Configure the environment variables HUAWEICLOUD_SDK_AK and HUAWEICLOUD_SDK_SK in the local environment first.
          */
         private static final String ACCESS_KEY = System.getenv("HUAWEICLOUD_SDK_AK");
         private static final String SECRET_ACCESS_KEY = System.getenv("HUAWEICLOUD_SDK_SK");
         private static final String PROJECT_ID = "<ProjectID>";
         private static final String CSMS_ENDPOINT = "<CsmsEndpoint>";
     
         //Version ID used to query the latest secret version details.
         private static final String LATEST_VERSION = "latest";
         private static final String HW_CURRENT_STAGE = "SYSCURRENT";
         private static final String HW_PENDING_STAGE = "HW_PENDING";
     
         public static void main(String[] args) {
             String secretName = args[0];
             String secretString = args[1];
     
             dualAccountRotation(secretName, secretString);
         }
     
         /**
          * Example: secret rotation for two accounts
          *
          * @param secretName
          * @param secretString
          */
         private static void dualAccountRotation(String secretName, String secretString) {
             // Create a new secret version with a custom version status. Assume that the secret content is the account password of service A.
             CreateSecretVersionResponse newSecretVersion = createNewSecretVersionWithStage(secretName,
                     secretString, Collections.singletonList(HW_PENDING_STAGE));
             String versionId = newSecretVersion.getVersionMetadata().getId();
     
             // Before rotation, check whether the pending state is modified.
             ListSecretStageResponse listSecretStageResponse = showSecretStage(secretName, HW_PENDING_STAGE);
             assert listSecretStageResponse.getStage().getVersionId().equals(versionId);
     
             // After the account and password of service A are updated, the version status of the new secret is updated to SYSCURRENT. The old secret is still stored in the service and cannot be accessed by specifying latest.
             updateSecretStage(secretName, versionId, HW_CURRENT_STAGE);
     
             // Query the secret of the latest version by specifying latest to complete the dual-account secret rotation.
             ShowSecretVersionResponse secretResponse = showVersionDetail(secretName, LATEST_VERSION);
     
             assert secretResponse.getVersion().getSecretString().equals(secretString);
         }
     
         /**
          * Example of creating a secret
          * If you add a secret version by customizing the version status, the program will not point the SYSCURRENT version status to this version.
          *
          * @param secretName
          * @param newSecretVersionText
          * @param stageList
          * @return
          */
         private static CreateSecretVersionResponse createNewSecretVersionWithStage(String secretName,
                                                                                    String newSecretVersionText,
                                                                                    List<String> stageList) {
             CsmsClient csmsClient = getCsmsClient();
     
             //Host the new secret in CSMS.
             CreateSecretVersionRequest createSecretVersionRequest = new CreateSecretVersionRequest()
                     .withSecretName(secretName)
                     .withBody(new CreateSecretVersionRequestBody()
                             .withSecretString(newSecretVersionText)
                             .withVersionStages(stageList));
     
             CreateSecretVersionResponse secretVersion = csmsClient.createSecretVersion(createSecretVersionRequest);
     
             System.out.printf("Created new version success, version id: %s", secretVersion.getVersionMetadata().getId());
     
             return secretVersion;
         }
     
         /**
          * Point the input version state to the specified secret version.
          * @param secretName
          * @param versionId
          * @param newStageName
          */
         private static void updateSecretStage(String secretName, String versionId, String newStageName) {
             UpdateSecretStageRequest updateSecretStageRequest = new UpdateSecretStageRequest().withSecretName(secretName)
                     .withStageName(newStageName).withBody(new UpdateSecretStageRequestBody().withVersionId(versionId));
     
             CsmsClient csmsClient = getCsmsClient();
     
             csmsClient.updateSecretStage(updateSecretStageRequest);
     
             System.out.printf("Version stage update success. version id:%s, new stage name:%s", versionId, newStageName);
         }
     
         /**
          * Query the secret of a specified version.
          * @param secretName
          * @param versionId
          * @return
          */
         private static ShowSecretVersionResponse showVersionDetail(String secretName, String versionId) {
             ShowSecretVersionRequest showSecretVersionRequest = new ShowSecretVersionRequest().withSecretName(secretName)
                     .withVersionId(versionId);
     
             CsmsClient csmsClient = getCsmsClient();
             ShowSecretVersionResponse secretDetail = csmsClient.showSecretVersion(showSecretVersionRequest);
     
             System.out.printf("Query latest version success. version id:%s",
      secretDetail.getVersion().getVersionMetadata().getId());
             return secretDetail;
         }
     
         /**
          * Query the status of a specified version.
          * @param secretName
          * @param stageName
          * @return
          */
         private static ListSecretStageResponse showSecretStage(String secretName, String stageName) {
             ShowSecretStageRequest showSecretStageRequest = new ShowSecretStageRequest()
                     .withSecretName(secretName).withStageName(stageName);
             CsmsClient csmsClient = getCsmsClient();
             return csmsClient.showSecretStage(showSecretStageRequest);
         }
     
         /**
          * Obtain the CSMS client.
          *
          * @return
          */
         private static CsmsClient getCsmsClient() {
             BasicCredentials auth = new BasicCredentials()
                     .withAk(ACCESS_KEY)
                     .withSk(SECRET_ACCESS_KEY)
                     .withProjectId(PROJECT_ID);
             return CsmsClient.newBuilder().withCredential(auth).withEndpoint(CSMS_ENDPOINT).build();
         }
     }