分发敏感配置

前提条件

需要具备AppStage服务敏感数据研发管理岗位权限，权限申请操作请参见申请权限。

步骤一：生成敏感配置项坐标

无论通过什么方式获取敏感配置，都需要有一个唯一标识，让STS可以准确查找到敏感配置项，该标识称为“敏感配置项坐标”。

1. 进入运维中心工作台。
2. 在顶部导航栏选择自有服务。
3. 单击，选择“安全 > 访问凭证管理服务”。
4. 选择左侧导航栏的“敏感配置管理”。
5. 勾选需要分发的敏感配置，单击“导出敏感配置ID”，即可生成敏感配置项坐标。

   敏感配置项坐标的生成规则为：

   • 服务级别的配置项： Service/{ServiceName}/{name}/{tag}
   • 微服务级别的配置项：MicroService/{ServiceName}/{MicroServiceName}/{name}/{tag}

步骤二：通过IaC发布敏感配置

业务使用Runtime部署并按照IaC规范配置敏感配置项之后，在部署时Runtime会从STS管理台拉取加密配置项，注入到容器的环境变量中，并通过配置渲染工具将敏感配置渲染到业务的配置文件中。

1. 在IaC脚本中的业务配置项配置文件中指定敏感配置项坐标。

   此处以在config_records.yaml文件中增加一个名为spring.redis.password的敏感配置项为例。

   spring.redis.password: MicroService/{ServiceName}/{MicroServiceName}/spring.redis.password/default

2. 在IaC脚本中的业务配置项属性定义文件中，声明该配置项为敏感配置项。
   此处以在config_schema.yaml中声明微服务的敏感业务配置项为例。

   type: object
   properties:
      spring.redis.password:
        format: sensitive