Сегодня я поговорил с другом о проекте, который делает его стартап. Это приложение nodejs с бэкэндом mongodb, размещенным в Google Cloud App Engine. К моему ужасу, я увидел, что он хранит такие секреты, как ключи API и ключи базы данных, в своем git-репо.
Я родом из Azure и .NET, поэтому я привык использовать хранилище ключей Azure и не знаю, какой предпочтительный способ сделать это в GAE. Я пытался читать документы, но вариантов много, и ни один из них не отражает того, к чему я привык в Azure.
Я хотел бы помочь своему другу.
Так может кто-нибудь указать мне, на какой продукт я должен читать. Это Hashicorp Vault, Google Cloud HMS или Berglas? Мне нужно, чтобы хранилище должно было хранить зашифрованные секреты, и приложению nodejs не нужно беспокоиться об аутентификации в хранилище. Хранилище должно просто позволить служебной учетной записи читать секреты.
Если хранилище может также вписаться в настройку Terraform, где мы можем выделить все ресурсы и при подготовке также сгенерировать необходимые секреты, а затем поместить их в хранилище безлюбой человек, когда-либо видевший эту тайну, был бы действительно потрясающим! Таким образом, мы могли бы также создать установку, в которой он мог бы обеспечить полную одноразовую среду на основе ветви функций. Но это просто приятно иметь.