检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
ACMS敏感配置管理使用流程 由于业务的敏感配置不能明文地存放在版本包、配置中心、IaC代码中,因此业务可以借助STS敏感配置项的功能,存放业务的敏感配置。 敏感配置管理使用流程 在ACMS中录入敏感配置:业务研发人员登录ACMS管理台录入敏感配置。
选择左侧导航栏的“敏感配置管理”。 勾选需要分发的敏感配置,单击“导出敏感配置ID”,即可生成敏感配置项坐标。
选择左侧导航栏的“敏感配置管理”。 单击“敏感配置录入”,配置相关参数。参数说明如表1所示。 敏感配置录入后,管理台不会明文显示敏感配置的明文值,请务必妥善保存明文值。 表1 录入敏感配置参数说明 参数 说明 推送实例 选择在哪个环境下配置敏感配置项。
父主题: 在ACMS中管理敏感配置
敏感配置项托管 由于业务的敏感配置不能明文地存放在版本包、配置中心、IaC代码中,因此业务可以借助STS敏感配置项的功能,存放业务的敏感配置。 操作步骤 使用STS的敏感配置项管理功能 ,需要在ACMS中录入敏感配置项,具体请参见录入敏感配置。
在ACMS中管理敏感配置 ACMS敏感配置管理使用流程 在ACMS中录入敏感配置 通过IaC分发敏感配置 在业务代码中配置敏感配置解密 父主题: 配置访问凭据管理服务
服务或微服务改名了,使用了STS敏感配置项功能,是否需要把敏感配置项坐标里的服务名、微服务名修改为最新的名称? 使用原服务/微服务名和使用新服务/微服务名,STS都可以识别。删除敏感配置项坐标里的服务名、微服务名,可以通过部署平台传递服务ID、微服务ID给STS。
接入STS(ACMS) STS(Security Token Service)提供了微服务注册以及敏感配置项管理的功能,STS是接入Cloud Map的前提条件,Cloud Map依赖STS认证能力。
STS现在已经支持了自动感知业务服务、微服务改名的信息,会自动将服务名、微服务名变更为最新的服务名、微服务名,并保持密钥、敏感配置、ACL等信息不变。但并不是业务改名后立即就会感知到,会有一段同步时间,大约10-15分钟左右。 父主题: 运行时引擎访问凭据管理服务
接入Cloud Map Spring Cloud通常是使用其自带的Eureka注册中心,使用应用平台可以将Eureka注册中心替换为Cloud Map,Cloud Map除了能够提供服务发现的功能,还可以提供数据库、敏感信息等的纳管功能。
STS SDK封装了业务微服务读取ACMS身份证书、到ACMS-Server上获取密钥、认证凭据、解密敏感数据、微服务间通信认证加密等功能,用户直接调用STS SDK提供的接口函数即可实现使用ACMS业务能力的目的。 父主题: STS SDK
敏感配置的托管和分发功能 ACMS为每个接入的微服务都分配了一个用于加密敏感数据的密钥(KEK),对服务也分配了加密敏感数据的密钥(ServiceKEK)。同一个服务下的所有微服务,ServiceKEK是相同的。
敏感信息配置项托管。 使用STS的敏感配置项管理功能 ,需要在ACMS中录入敏感配置项,具体请参见录入敏感配置。 在IaC脚本中的业务配置项配置文件中指定敏感配置项取值路径。 在IaC脚本中的业务配置项属性定义文件中,声明该配置项为敏感配置项。
服务或微服务改名了,使用了STS敏感配置项功能,是否需要把敏感配置项坐标里的服务名、微服务名修改为最新的名称?
│ └── config_schema.yaml 声明DemoOrgidLogin的业务配置项属性,敏感业务配置项需要声明,非敏感配置项可以不声明。 │ └── envs.yaml 用于配置和管理DemoOrgidLogin的环境变量。
敏感度参数最高不超过5.5,最低不低于3.5;一般配置4.5或者5。 请求量指标因为使用了新的算法,敏感度可以在0.5—5之间调节。 时延、请求量、速率类指标敏感度每降低0.5,阈值线相对浮动3%,绝对浮动3。
Some config items not found iac provider在plan阶段会去校验敏感配置项是否存在于STS管理台,如果没有录入敏感配置项,或者敏感配置项的坐标不正确,则报此错,需要业务自己检查坐标是否正确。
SDK功能介绍 运行时引擎SDK功能介绍 表1 STS SDK功能矩阵 功能 Java 读取微服务身份证书 √ 连接STS-Server获取密钥、认证凭据等 √ 连接STS-Server获取敏感配置 √ 解密敏感数据 √ 微服务间通信认证 √ 微服务间通信敏感数据加密 √ 表2 Cloud
配置访问凭据管理服务 运行时引擎访问凭据管理服务功能介绍 将微服务注册到ACMS 在ACMS中配置ACL 在ACMS中管理敏感配置 在ACMS中查询认证凭据
配置信息中的一些敏感信息,前台展示时都做了敏感数据的脱敏处理。 父主题: 管理Cloud Map中的服务资源
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
