用于Google Cloud App Engine上NodeJS应用程序的秘密管理
我今天和一个朋友谈论了他的创业公司正在做的项目。它是一个Nodejs应用程序,其mongodb后端托管在Google Cloud App Engine上。令我震惊的是,我看到他在git repo中存储了诸如API密钥和数据库密钥之类的秘密。
我来自Azure和.NET背景,因此我习惯使用Azure Key Vault,并且不知道在GAE中首选的方法是什么。我已经尝试阅读文档,但是有很多选项,而且似乎没有一个选项可以完全反映出我在Azure中的使用习惯。
我想帮助我的朋友。
所以任何人都可以向我指出我应该读什么产品。是Hashicorp Vault,Google Cloud HMS还是Berglas?我的需求是,保管库必须能够存储加密的机密,并且nodejs应用程序不必担心通过保管库进行身份验证。保险库仅应允许服务帐户读取机密。
如果保管库也可以放入Terraform设置中,我们可以在其中配置所有资源,并且在配置时还生成所需的秘密,然后将其放入保管库中,而无需任何人注意这个秘密,那真是太棒了!这样,我们还可以创建一个设置,使他能够基于功能分支提供完整的一次性环境。但这真是太好了。
回答如下:基于您也要使用Terraform的事实,我建议使用HashiCorp。 Google提供的这两个组合的blog post。通常,您在问题中提到的所有解决方案都是可行的,您可以找到更多的here。