更新时间:2024-06-07 GMT+08:00
分享

分发敏感配置

敏感配置项录入后,需要通过IaC部署后生效变成已发布状态,微服务才能获取。

前提条件

需要具备AppStage服务敏感数据研发管理岗位权限,权限申请操作请参见申请权限

步骤一:生成敏感配置项坐标

无论通过什么方式获取敏感配置,都需要有一个唯一标识,让STS可以准确查找到敏感配置项,该标识称为“敏感配置项坐标”。

  1. 进入运维中心工作台。
  2. 在顶部导航栏选择自有服务。
  3. 单击,选择安全 > 访问凭证管理服务
  4. 选择左侧导航栏的“敏感配置管理”
  5. 勾选需要分发的敏感配置,单击“导出敏感配置ID”,即可生成敏感配置项坐标。

    敏感配置项坐标的生成规则为:

    • 服务级别的配置项: Service/{ServiceName}/{name}/{tag}
    • 微服务级别的配置项:MicroService/{ServiceName}/{MicroServiceName}/{name}/{tag}

步骤二:通过IaC发布敏感配置

业务使用Runtime部署并按照IaC规范配置敏感配置项之后,在部署时Runtime会从STS管理台拉取加密配置项,注入到容器的环境变量中,并通过配置渲染工具将敏感配置渲染到业务的配置文件中。

  1. 在IaC脚本中的业务配置项配置文件中指定敏感配置项坐标。

    此处以在config_records.yaml文件中增加一个名为spring.redis.password的敏感配置项为例。

    spring.redis.password: MicroService/{ServiceName}/{MicroServiceName}/spring.redis.password/default

  2. 在IaC脚本中的业务配置项属性定义文件中,声明该配置项为敏感配置项。

    此处以在config_schema.yaml中声明微服务的敏感业务配置项为例。
    type: object
    properties:
       spring.redis.password:
         format: sensitive

分享:

    相关文档

    相关产品