跨各种环境管理 API 密钥、令牌和凭证等敏感数据可能非常棘手，尤其是在开发和部署应用程序时。确保秘密在需要时安全地存储和获取，而不是将它们硬编码到版本控制中，对于维护安全性至关重要。

这就是为什么我创建了 Secrets Loader，这是一个 Bash 脚本，可以动态地将 AWS SSM 和 CloudFormation 中的密钥直接提取到您的 .env 文件中，从而使本地开发和部署更轻松、更安全、更高效。

---

什么是秘密加载器？

Secrets Loader 是一个简单的工具，旨在根据 .env 文件中的自定义语法自动从 AWS SSM Parameter Store 和 AWS CloudFormation 输出中获取密钥。它用实际秘密替换占位符，而不会在版本控制中暴露敏感信息。

例如，您可以在 .env 文件中定义它们，如下所示：

THIRD_PARTY_API_KEY="ssm:/third-party/api/key"
AWS_ACCESS_KEY_ID="cf:my-stack:AccessKeyId"

只需一个命令，Secrets Loader 即可从 AWS 获取实际值并更新您的 .env 文件，从而保证敏感信息的安全且易于管理。

---

我为什么建造它

在本地开发和部署期间，我发现自己正在处理敏感凭据，我不想将这些凭据硬编码到项目文件中。广泛使用 AWS 服务后，我想要一种将秘密管理集成到现有开发工作流程中的方法，而不需要太多麻烦。

以下是 Secrets Loader 解决的主要挑战：

1. 避免硬编码秘密：不再将秘密提交给版本控制。您可以安全地使用占位符并从 AWS SSM 和 CloudFormation 动态获取实际值。
2. 减少手动工作：无需手动复制和粘贴秘密值，只需在 .env 文件中定义一次，然后让脚本执行提取操作。
3. 简化机密管理：无论您是在本地开发、暂存还是生产，Secrets Loader 都能确保安全、自动加载机密。

---

特征

Secrets Loader 具有一些关键功能，使其成为本地开发和生产环境的便捷工具：

• 自动秘密加载：通过在 .env 文件中指定路径从 AWS SSM Parameter Store 和 CloudFormation 获取秘密。
• 安全第一的方法：通过在运行时安全地加载敏感数据，使敏感数据脱离版本控制。
• 简单语法：在 .env 文件中使用自定义语法（ssm：用于 SSM 参数，cf：用于 CloudFormation 输出）来指定机密应来自何处。
• 错误处理：即使一次检索失败，脚本也会继续处理其他机密，并在不停止工作流程的情况下记录警告。

---

它是如何运作的

Secrets Loader的神奇之处在于它能够根据特定前缀（ssm: 和 cf:）从 AWS 获取机密。这是一个示例工作流程：

1. 设置您的 .env 文件:

使用 SSM 参数的 ssm: 前缀或 CloudFormation 输出的 cf: 前缀在 .env 文件中为您的机密添加占位符：

THIRD_PARTY_API_KEY="ssm:/third-party/api/key" AWS_SECRET_ACCESS_KEY="cf:my-stack:SecretAccessKey"

   THIRD_PARTY_API_KEY="ssm:/third-party/api/key"
   AWS_SECRET_ACCESS_KEY="cf:my-stack:SecretAccessKey"

1. 运行脚本:

使用以下命令运行脚本并获取机密：

./secrets.sh

   THIRD_PARTY_API_KEY="ssm:/third-party/api/key"
   AWS_SECRET_ACCESS_KEY="cf:my-stack:SecretAccessKey"

1. 更新了.env文件：

运行脚本后，您的 .env 文件将使用从 AWS 获取的实际值进行更新：

THIRD_PARTY_API_KEY=实际 api-键值 AWS_SECRET_ACCESS_KEY=实际访问键值

   THIRD_PARTY_API_KEY="ssm:/third-party/api/key"
   AWS_SECRET_ACCESS_KEY="cf:my-stack:SecretAccessKey"

不再需要硬编码秘密，也不再需要手动查找！

---

安装与设置

准备好开始了吗？以下是您在项目中设置

Secrets Loader 的方法：

1. 克隆存储库：

git 克隆 https://github.com/Thavarshan/secretst-loader.git cd Secretst-加载程序

   THIRD_PARTY_API_KEY="ssm:/third-party/api/key"
   AWS_SECRET_ACCESS_KEY="cf:my-stack:SecretAccessKey"

1. 使脚本可执行：

chmod x Secrets.sh

   THIRD_PARTY_API_KEY="ssm:/third-party/api/key"
   AWS_SECRET_ACCESS_KEY="cf:my-stack:SecretAccessKey"

1. 确保已安装并配置 AWS CLI:

如果您尚未安装 AWS CLI，请按照 AWS CLI 安装指南进行操作。安装后，配置您的 AWS 凭证：

aws 配置

   THIRD_PARTY_API_KEY="ssm:/third-party/api/key"
   AWS_SECRET_ACCESS_KEY="cf:my-stack:SecretAccessKey"

1. 在 .env 中定义你的秘密:

使用 ssm: 和 cf: 前缀来定义秘密的来源：

THIRD_PARTY_API_KEY="ssm:/third-party/api/key" AWS_ACCESS_KEY_ID="cf:my-stack:AccessKeyId"

   THIRD_PARTY_API_KEY="ssm:/third-party/api/key"
   AWS_ACCESS_KEY_ID="cf:my-stack:AccessKeyId"

---

用法示例

我们看一个简单的例子：

.env.example 文件：

# 应用程序设置 APP_NAME=我的应用程序 APP_ENV=生产 # 从 AWS SSM 和 CloudFormation 获取的机密 THIRD_PARTY_API_KEY="ssm:/第三方/api/key" AWS_SECRET_ACCESS_KEY="cf:my-stack:SecretAccessKey"

   THIRD_PARTY_API_KEY="ssm:/third-party/api/key"
   AWS_SECRET_ACCESS_KEY="cf:my-stack:SecretAccessKey"

运行秘密加载器：

./secrets.sh

   THIRD_PARTY_API_KEY="ssm:/third-party/api/key"
   AWS_SECRET_ACCESS_KEY="cf:my-stack:SecretAccessKey"

更新的 .env 文件：

# 应用程序设置 APP_NAME=我的应用程序 APP_ENV=生产 # 获取的秘密 THIRD_PARTY_API_KEY=实际 API 键值 AWS_SECRET_ACCESS_KEY=实际秘密访问密钥

   THIRD_PARTY_API_KEY="ssm:/third-party/api/key"
   AWS_ACCESS_KEY_ID="cf:my-stack:AccessKeyId"

---

故障排除

如果您在使用

Secrets Loader时遇到任何问题，请检查以下事项：

1. AWS 权限：确保 AWS CLI 配置正确，并且您的 IAM 角色或用户有足够的权限来访问 AWS SSM 和 CloudFormation 密钥。

2. 语法错误：仔细检查 .env 文件中的语法，确保 ssm: 和 cf: 前缀正确。

3. 脚本错误：如果脚本无法获取某些机密，它将记录警告，但会继续获取其他机密。查看日志中是否有任何错误消息，并确保 AWS 资源存在且可访问。

---

扩展秘密加载器

该脚本被设计为可扩展的。如果您想集成其他秘密管理系统（例如 Azure Key Vault 或 HashiCorp Vault），您可以轻松修改脚本以支持新的前缀和获取逻辑。

例如，您可以添加 azkv: 前缀以从 Azure Key Vault 获取机密并使用 Azure CLI 处理检索。

---

贡献

Secrets Loader 是开源的，欢迎贡献！如果您想添加功能、修复错误或提出改进建议，请随时：

• 打开问题：分享您的反馈或错误报告。
• 提交拉取请求：按照我们的贡献指南贡献代码。

---

结论

如果您厌倦了跨环境手动管理机密，

Secrets Loader 是一个简单、有效的工具，可以简化流程。通过从 AWS SSM 和 CloudFormation 动态获取机密，您可以安全地管理您的凭证，而不会面临在版本控制中暴露的风险。

在 GitHub 上查看该项目，尝试一下，如果您觉得有用，

在 GitHub 上给我们一个 ⭐！ 您的支持有助于项目成长，我们很乐意听到您的意见反馈或查看您对其持续开发的贡献。