将凭据安全地存储为密文,并使用aws kms动态解密
credkeep的Python项目详细描述
credkeep
credkeep是一个python包,有助于减轻存储敏感凭据的痛苦。安全的凭据 使用aws的密钥管理服务(kms)加密的文件可以存储在版本控制系统中 在没有访问KMS上的用户加密密钥的情况下解密。
安装
pip安装credkeep
用法
credkeep要求您配置自己的kms主密钥。此密钥用于加密/解密数据,并且 由AWS安全存储。您的kms主密钥可以在https://console.aws.amazon.com/iam/home#encryptionKeys查看。 有关创建新主密钥的信息,请参见http://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html。
明文API机密不应存储在明文中。例如,developer_secrets.json
{"SECRET_API_KEY":"thisismysecretkey","ANOTHER_API_KEY":"anotherkey"}
通过调用credkeep.encrypt_文件
{"SECRET_API_KEY":"CiAr4gKwrApZNibuqh1YKjlIGMj4A4GSHArF+0lCqBnqOxKfAQEBAgB4K+ICsKwKWTYm7qodWCo5SBjI+AOBkhwKxftJQqgZ6jsAAAB2MHQGCSqGSIb3DQEHBqBnMGUCAQAwYAYJKoZIhvcNAQcBMB4GCWCGSAFlAwQBLjARBAzGyPmdgqEbxzvnjKICARCAMzOd+DIaI/rUbc8dYQTxGS8aQQNjgXPt6Or0rxo7fFn0rA5/Kf6zpnui0q9XXtUatL4D3Q==","ANOTHER_API_KEY":"CiAr4gKwrApZNibuqh1YKjlIGMj4A4GSHArF+0lCqBnqOxKXAQEBAgB4K+ICsKwKWTYm7qodWCo5SBjI+AOBkhwKxftJQqgZ6jsAAABuMGwGCSqGSIb3DQEHBqBfMF0CAQAwWAYJKoZIhvcNAQcBMB4GCWCGSAFlAwQBLjARBAxgB3p/zbVarLd/5a4CARCAK4w48/dCK7EvwTDELb11bpBe8TpaIhcCalfOqACQzoLoqgciAY8DuczOvRs="}
这个加密的json文件可以通过版本控制安全地分发,因为它需要访问kms上的主密钥。什么时候? 文件中的机密是必需的,可以使用credkeep.decrypt_file对文件进行解密。此函数可以选择 使用解密的机密设置本地环境变量。这些环境变量不会在shell之间持久化 或者重新启动。