在gitlab中存储API令牌的安全方法
我正在从事这个小型的在gitlab中存储API令牌的安全方法,gitlab,terraform,Gitlab,Terraform,我正在从事这个小型的terraform项目,该项目使用gcp(谷歌云平台)token.json,其中包含用于创建资源的安全凭据 Terraform文件由Gitlab CI/CD执行 我关心的是,下面的terraform文件(main.tf)使用了这个token.json # Configure the backend terraform { backend "gcs" { bucket = "tf_backend_gcp_banuka_jana
terraformgcptoken.jsonterraformtoken.json# Configure the backend
terraform {
backend "gcs" {
bucket = "tf_backend_gcp_banuka_jana_jayarathna_k8s"
prefix = "terraform/gcp/boilerplate"
credentials = "./token.json" ----> file I need to keep securely
}
}
token.jsonmain.tfgitlabmain.tftoken.jsongit crypttoken.jsonmain.tfterraform- 将令牌作为变量存储在GitLab中(设置->CI/CD->变量),确保启用屏蔽
- 在terraform清单中为令牌定义一个变量
- 运行apply时,将令牌变量提供给terraform
variable "gce_token" {
type = string
}
terraform {
backend "gcs" {
bucket = "tf_backend_gcp_banuka_jana_jayarathna_k8s"
prefix = "terraform/gcp/boilerplate"
credentials = var.gce_token
}
}
terraform apply -var="gce_token=$GCE_TOKEN"
您可以对文件进行base64编码并将其放入GitLab CI变量中
cat token.json | base64
terraform-apply:
stage: deploy
script:
- echo $GCE_TOKEN | base64 -d > token.json
- terraform apply
过了一会儿,当我在做同样的事情时,我遇到了同样的问题,我找到了解决办法 我们可以将
AWSaccess keysecret keyGitlabterraform initterraform apply before_script:
- export AWS_ACCESS_KEY_ID=${access_key}
- export AWS_SECRET_ACCESS_KEY=${secrect_key}
你的方法很好,但是terraform不允许为
后端使用变量。我忘记了这一点,发布了另一个我认为可行的解决方案。那么,我如何将这个解码的令牌集成到terraform
中的后端配置?我用一个GitLab CI片段更新了我的帖子。您的后端已经指向文件token.json,因此terraform应该从工作区中获取它。