我在Chef中使用加密数据包,秘密文件当前存在于源代码中。是否可以将Chef cookbook_file源存储在加密的数据包中?
secret = cookbook_file "/etc/chef/#{env_encrypted_data_bag_secret" do
source "env_encrypted_data_bag_secret"
mode 0755
owner "root"
group "root"
end
secret.run_action(:create)
在上面的代码中,秘密文件从厨师回购的files/default
位置加载。
但是,将秘密文件放在源代码中是一个安全问题。 因此,请让我知道是否可以将厨师cookbook_file
来源存储在加密数据包或其他地方,而不是厨师仓库。在贵公司的密码存储
您想将加密数据包中包含您的密钥的加密数据包的秘密存储在加密数据包中的秘密数据包中的秘密是什么?我知道加密数据包秘密没有被检入到版本控制(出于很好的理由)的工作流程,但是在工作站之间手动复制并在自动增强('bootstrap'自动复制文件IIRC)期间提供给节点。 – StephenKing
请参阅[默认引导程序模板](https://github.com/chef/chef/blob/a1e923cae62ea09c41bec46adc0b81a46d1ce27e/lib/chef/knife/bootstrap/templates/chef-full.erb#L198-L203)。 – StephenKing