Подключиться
Language / Region
© 2022 ООО «Яндекс.Облако»
Yandex Lockbox

Начало работы c Yandex Lockbox

Статья создана

Создайте ваш первый секрет и получите его содержимое.

Секрет состоит из набора версий, в которых хранятся ваши данные. Версия содержит наборы ключей и значений:

  • Ключ — это несекретное название для значения, по которому вы будете его идентифицировать.
  • Значение — это секретные данные.

Версия не изменяется. Для любого изменения количества пар ключей-значений или их содержимого необходимо создать новую версию.

Создать секрет

Чтобы создать секрет:

  1. В консоли управления выберите каталог, в котором будет создан секрет.

  2. В списке сервисов выберите Yandex Lockbox.

  3. Нажмите кнопку Создать секрет.

  4. В поле Имя введите имя секрета.

  5. (опционально) В поле Ключ KMS укажите существующий ключ или создайте новый.

    Указанный ключ KMS используется для шифрования секрета. Если вы не будете указывать ключ, секрет будет зашифрован специальным системным ключом.

    Совет

    Использование своего ключа KMS дает возможность использовать все преимущества сервиса Yandex Key Management Service.

  6. В блоке Версия:

    • В поле Ключ введите неконфиденциальный идентификатор.
    • В поле Значение введите конфиденциальные данные для хранения.
    • Нажмите кнопку Добавить пару.
    • (опционально) Повторите шаги и добавьте больше данных.

  7. Нажмите кнопку Создать.

Если у вас еще нет интерфейса командной строки Yandex.Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для создания секрета:

    yc lockbox secret create --help

  2. Выполните команду, указав в параметрах имя подсети и внутренний IP-адрес ресурса:

    yc lockbox secret create --name <имя секрета> --description <описание секрета> --payload '[{"key": "<ключ>", "text_value": "<текстовое значение>"}[,{"key": "<ключ>", "text_value": "<текстовое значение>"}]]' --cloud-id <идентификатор облака> --folder-name <название каталога>

    Результат:

    id: e6q2ad0j9b55tk3d781j
folder_id: b1gktjk2rg494evcsd2a
created_at: "2021-11-08T19:23:00.383Z"
name: <имя секрета>
description: <описание секрета>
status: ACTIVE
current_version:
  id: g6q4fn3b6okjkckanaib
  secret_id: e6e2ei4u9b55gh2d561j
  created_at: "2021-11-08T19:23:00.383Z"
  status: ACTIVE
  payload_entry_keys:
  - <ключ>

Получите содержимое секрета

Роли, необходимые для получения секрета

Если при создании секрета вы указали свой ключ KMS, необходимо назначить на него роль kms.keys.encrypterDecrypter, это необходимо для шифрования и расшифровки секрета.

Получите содержимое секрета

Для получения содержимого секрета обратитесь к нему с помощью API. При запросе без указания версии, будет возвращаться содержимое текущей (последней) версии.

Вы можете использовать эту логику в скриптах, сервисах и приложениях, где необходимо использовать содержимое секрета.

Чтобы получить содержимое секрета:

  1. Получите IAM-токен, необходимый для аутентификации и сохраните его в переменную:

    export IAM_TOKEN=`yc iam create-token`

    Также вы можете получить IAM-токен сервисного аккаунта изнутри ВМ, к которой он привязан. Для этого выполните запрос в сервис метаданныx. Пример c использованием утилиты jq:

    export IAM_TOKEN=`curl -H Metadata-Flavor:Google http://169.254.169.254/computeMetadata/v1/instance/service-accounts/default/token | jq -r .access_token`

  2. Выполните запрос:

    curl -X GET -H "Authorization: Bearer ${IAM_TOKEN}" \
https://payload.lockbox.api.cloud.yandex.net/lockbox/v1/secrets/<идентификатор секрета>/payload
Language / Region
© 2022 ООО «Яндекс.Облако»
В этой статье: