我在Chef中使用加密數據包,祕密文件當前存在於源代碼中。是否可以將Chef cookbook_file源存儲在加密的數據包中?
secret = cookbook_file "/etc/chef/#{env_encrypted_data_bag_secret" do
source "env_encrypted_data_bag_secret"
mode 0755
owner "root"
group "root"
end
secret.run_action(:create)
在上面的代碼中,祕密文件從廚師回購的files/default
位置加載。
但是,將祕密文件放在源代碼中是一個安全問題。 因此,請讓我知道是否可以將廚師cookbook_file
來源存儲在加密數據包或其他地方,而不是廚師倉庫。在貴公司的密碼存儲
您想將加密數據包中包含您的密鑰的加密數據包的祕密存儲在加密數據包中的祕密數據包中的祕密是什麼?我知道加密數據包祕密沒有被檢入到版本控制(出於很好的理由)的工作流程,但是在工作站之間手動複製並在自動增強('bootstrap'自動複製文件IIRC)期間提供給節點。 – StephenKing
請參閱[默認引導程序模板](https://github.com/chef/chef/blob/a1e923cae62ea09c41bec46adc0b81a46d1ce27e/lib/chef/knife/bootstrap/templates/chef-full.erb#L198-L203)。 – StephenKing