分发敏感配置

前提条件

需要具备AppStage服务敏感数据研发管理岗位权限，权限申请操作请参见申请权限。

操作步骤

1. 生成敏感配置坐标。
   无论通过什么方式获取敏感配置，都需要有一个唯一标识，让STS可以准确查找到敏感配置项，该标识称为“敏感配置项坐标”。

   1. 进入运维中心工作台。
   2. 在顶部导航栏选择自有服务。
   3. 单击，选择“安全 > 访问凭证管理服务”。
   4. 选择左侧导航栏的“敏感配置管理”。
   5. 勾选需要分发的敏感配置，单击“导出敏感配置ID”，即可生成一个Excel。
   6. 打开Excel，查看敏感配置ID。

2. 通过部署平台分发敏感配置。

   通过Nuwa Runtime IAC发布敏感配置。

   业务使用Runtime部署并按照Runtime的IAC规范配置敏感配置项之后，在部署时Runtime会从STS管理台拉取加密配置项，注入到容器的环境变量中，并通过配置渲染工具将敏感配置渲染到业务的配置文件中。

   1. 在IAC中打开sts的开关，配置sts_enable为true。

      variable "sts_enable"{default = true}

   2. 业务配置的IAC一般是放在business_config.yaml文件中，如果是敏感数据，那么value就写STS中的敏感配置ID，并在common_config.yaml的secret_config_items中配置该敏感配置项。

      敏感配置ID格式：

      服务级别敏感配置："Service/{ServiceName}/{key}/{tag}"

      微服务级别敏感配置："MicroService/{ServiceName}/{MicroServiceName}/{key}/{tag}"

3. 可选：（可选）通过STS SDK获取敏感配置。

   只有当敏感配置项的值经常新增、修改，需要在运行时动态获取敏感配置项时，才推荐使用。

   但是，STS SDK仅支持获取“已发布”的配置项，业务录入的配置项未生效不能直接被STS SDK读取，需要业务通过部署平台发布才会生效。如果业务开发录入的敏感配置项，不经过发布就直接被STS SDK获取，就意味着没有经过变更，就改变了现网数据/状态，是不合规的，因此敏感配置项必须关联电子流发布后，才能通过STS SDK获取。