问题标签 [secret-manager]

我只是在 ASP.NET 5 中使用SecretManager，并不太明白我打算如何在 Azure 网站上为生产/登台环境设置这些值。

某处是否有用户界面，我只是将它们添加为 Azure 门户中的 AppSettings，还是需要使用 Kudu 调试控制台来设置它们？

谢谢

马特

I'm expecting to save a lot of documents of considerable size, from 1M to potentially multiple orders of magnitude larger. I know Hashicorp's Vault is great for secret keys and smaller values. I would love to get the "glass break" functionality and the key rolling functionality from it.

Has anyone done any benchmarking of Vault with large secrets? I'm presuming I'm not going to have trouble with the number of secrets in the vault?

我已按照之前帖子中的说明进行操作，但仍然无法让用户机密工作。我正在尝试将它安装在我的 IIS 服务器上。我在此路径中运行所有内容： C:\inetpub\wwwroot\myapp\wwwroot>

dnvm 使用 1.0.0-rc1-update1 -p

dnu 命令安装 Microsoft.Extensions.SecretManager --overwrite

安装通过，我收到消息：

安装了以下命令： user-secret

但是当我跑步时它们：

用户密码 -h

我收到以下错误：

System.NullReferenceException：对象引用未设置为对象的实例。在 Microsoft.Framework.SecretManager.CommandOutputProvider..ctor(IRuntimeEnvironment runtimeEnv) 在 Microsoft.Framework.SecretManager.Program..ctor(IRuntimeEnvironment runtime eEnv)

不用说 - 没有创建 UserSecrets 文件夹......

你能帮我吗？谢谢！

在我的 .NET 项目中断 4 个月后，我突然遇到了这个错误：

谁能解释为什么我会突然出现这种错误？我已检查此处列出的路径中未找到 Microsoft.Extensions.SecretManager.Tools。我将尝试安装 SecretManager（尽管我是一年前安装的），但我仍然很困惑为什么我现在会收到错误消息。

我确实理解将“秘密”嵌入到解决方案中的问题，无论是在代码还是数据文件中，因为这些被签入到源代码控制中。

因此，我认为 Secrets Manager Tool 非常适合开发。但是，如果您投入生产，假设您将网站发布到共享虚拟主机，该怎么办。这意味着我不会使用 AZURE，因为它要花钱。

因此，在使用 Azure 的开发场景和生产场景之外，没有办法使用 Secret Manager 吗？在没有 Azure 的情况下，在生产环境中存储和使用机密的最佳和最简单的方法是什么？我过去尝试过加密，但我正在寻找更透明的实现。

使用 Secret Manager 而不是环境变量来使用 Visual Studio 2017 开发 ASP.NET Core、Azure Functions、Azure WebJobs 和 Xamarin 项目有什么优势吗？

也许是另一种提出相同问题的方法，但哪一种是更新/更受欢迎的方法？

当我创建 .net 核心 Web 应用程序时，我在测试期间使用秘密管理器。我通常能够创建一个新的 web 项目（mvc 和 web api），右键单击该项目并选择“管理用户机密”。这将打开一个 json 文件，我在其中添加秘密。然后我在我的 startup.cs 中使用它，如下所示：

该网站可以正常工作，并且可以很好地连接到数据库。但是，当我尝试使用诸如 ef 核心迁移命令时add-migration，它们似乎无法从秘密管理器访问连接字符串。我收到错误消息“连接字符串不能为空”。当我Configuration["connectionString"]使用实际字符串进行硬编码时，错误消失了。我已经在线检查并检查了 .csproj 文件，它们已经包含以下几行：

然后：

我需要添加什么以便迁移可以访问连接字符串吗？

更新

我在上下文类中只有一个构造函数：

我正在尝试在使用 IIS 的 A2hosting 共享托管 Windows 选项上托管 .net 核心应用程序。但是，一旦我UserSecretsId在 .csproj 文件中使用了秘密管理器，我就得到了 502.5 错误。这很奇怪，因为生产不使用秘密管理器。在进行了一些挖掘之后，我发现在我的 .csproj 文件中添加以下行可以再次消除 502.5 错误：

现在，我需要将我的秘密存储在 web 文件夹之外。我正在尝试在我的 program.cs 中使用以下代码进行设置：

此代码带回错误 502.5。当我单独注释掉该AddJsonFile行时，错误就消失了。我试图了解什么是错的AddJsonFile。

总之，这个问题似乎围绕着IConfiguration（与秘密经理和AddJsonFile）有关。

知道如何使该AddJsonFile功能正常工作吗？访问外部 json 文件有什么好的替代方法吗？我正在尝试一些不乱的东西，比如读取一个 while 文件并将其序列化为AddInMemoryCollection函数。是一种记录显示为 502.5 的错误的方法吗？我注意到出现此错误时，中间件无法运行。这意味着我不能在其中使用 ILogger。

假设我是拥有所有 AWS 权限的 AWS 超级用户。

我已经配置了 AWS 胶水，包括使用用户名和密码连接到数据库。

我已将用户名和密码存储在 AWS 机密管理器中，胶水的 ETL 作业脚本将使用此信息连接数据库，然后运行 ​​ETL 作业。

ETL Data 工程师没有超级用户权限。但他们知道如何编写 ETL 作业脚本的详细信息。并且脚本需要先获取机密信息，也就是说工程师可以编写代码打印出密码……而且我们有很多数据工程师……</p>

我的问题是：控制秘密管理员密码访问的正确策略是什么？

1) 我们应该允许 ETL 数据工程师更新脚本以粘合并运行它吗？然后他们可以看到密码，或者

2) 我们是否只允许他们编写 ETL 脚本，但让超级用户在查看代码后更新脚本以粘合？或者

3）我们有办法将ETL作业脚本代码和get_password代码分开吗？

注意，我知道如何使用 IAM，标签来控制秘密管理器。但我的问题不同。

我正在尝试从我的凭证和密钥迁移到我的 Express 项目中的 AWS Secrets Manager。

当前结构有一个 config.json 文件，该文件在 express 应用程序时同步加载。

但是，当我尝试从 AWS API 获取凭证时，流程将不起作用。因为在我之前的方法中，文件是同步加载的，因此，当应用程序启动时，所有凭证都可用，但从 AWS API 获取凭证时，所有凭证都不可用。

我想了解在 Express/Node 项目中需要 API 调用以获取凭据的任何秘密管理器的理想方法是什么。