API7 Enterprise v3.2.16 : Fournisseurs de secrets intégrés

Zhihuang Lin

Zhihuang Lin

October 10, 2024

Products

Dans API7 Enterprise, vous pouvez stocker une grande quantité d'informations sensibles, telles que les certificats SSL et les clés privées, les noms d'utilisateur et les mots de passe des informations d'identification des consommateurs, ainsi que celles requises par certains plugins pour se connecter à des systèmes externes.

Le concept de "Fournisseurs de Secrets" a été introduit dans API7 Enterprise v3.2.16. Désormais, nous pouvons facilement ajouter des ressources de fournisseurs de secrets pour intégrer des gestionnaires de secrets tiers, tels que HashiCorp Vault, AWS Secrets Manager, et GCP Secret Manager, et référencer les informations sensibles stockées à l'extérieur dans API7 en utilisant des variables. Le format de référence est le suivant :

$secret://$manager/$id/$secret_name/$key

Comment utiliser les Fournisseurs de Secrets ?

Ajouter un Fournisseur de Secrets

Dans le menu Groupe de Passerelles, une nouvelle option "Fournisseur de Secrets" a été ajoutée. Cliquez sur le bouton pour accéder à la page de liste des fournisseurs de secrets. Ensuite, cliquez sur le bouton "Ajouter un Fournisseur de Secrets" dans le coin supérieur droit de la page.

Ajouter des Fournisseurs de Secrets dans API7 Enterprise

Dans la fenêtre contextuelle, remplissez les informations de base sur le fournisseur de secrets, sélectionnez le type de service de gestion des secrets, par exemple, HashiCorp Vault. Ensuite, fournissez l'adresse d'accès au service et le jeton d'authentification pour votre configuration HashiCorp Vault.

Visualiser un Fournisseur de Secrets

Après la création, nous pouvons visualiser les détails spécifiques de la configuration et l'exemple de variable secrète sur la page des détails du fournisseur de secrets.

Détails du Fournisseur de Secrets dans API7 Enterprise

Le format de la variable secrète est : secret://manager/$id/$secret_name/$key, avec les significations suivantes :

  • $secret : Un préfixe fixe, aucun remplacement nécessaire
  • $manager : Le service de gestion des secrets
  • $id : L'ID de la ressource du fournisseur de secrets
  • $secret_name : Le nom du secret dans le service de gestion des secrets
  • $key : La clé correspondant au secret dans le service de gestion des secrets

Par exemple, avec un ID de fournisseur de secrets my-provider et un type de service de gestion des secrets HashiCorp Vault, si vous souhaitez référencer un secret nommé my-secret avec une clé password, la variable secrète correspondante serait :

$secret://vault/my-hashicorp-vault/my-secret/password

Actuellement, HashiCorp Vault est pris en charge comme service de gestion des secrets. AWS Secrets Manager et GCP Secret Manager seront bientôt disponibles.

Référencer une Variable Secrète

Une fois le fournisseur de secrets créé, vous pouvez référencer des informations sensibles stockées à l'extérieur dans diverses ressources d'API7 Enterprise via des variables. Par exemple, lors de l'ajout des informations d'identification Authentification de Base pour un consommateur, vous pouvez choisir de stocker des informations sensibles, comme les mots de passe, dans un service de gestion des secrets externe et les référencer dans API7 Enterprise, améliorant ainsi la sécurité.

Référencer des Fournisseurs de Secrets dans API7 Enterprise

De même, lorsque vous travaillez avec des pages non-formulaires, comme l'éditeur de plugins, nous pouvons également entrer directement la valeur de la variable Secret sous forme de chaîne dans n'importe quel champ prenant en charge la référence de Secrets.

Référencer des Informations Secrètes lors de l'Activation des Plugins

Visualiser les Relations de Référence

Lorsque nous référençons une variable de my-provider dans les informations d'identification des consommateurs, nous pouvons visualiser cette relation de référence dans la liste des références du fournisseur de secrets. D'autres ressources référencées seront également affichées dans cette liste, facilitant le suivi de l'utilisation du fournisseur de secrets.

Références du Fournisseur de Secrets

Modifier ou Supprimer un Fournisseur de Secrets

Lors de la modification ou de la suppression d'un fournisseur de secrets, le système vérifiera les relations de référence pour éviter que des variables invalides ne soient référencées dans les ressources, ce qui pourrait entraîner des erreurs de configuration.

Modifier ou Supprimer un Fournisseur de Secrets dans API7 Enterprise

Résumé

En intégrant des services de gestion des secrets externes, tels que HashiCorp Vault, API7 Enterprise améliore la commodité de référencer des informations sensibles stockées à l'extérieur dans diverses ressources. Cette intégration réduit les risques et les coûts associés à la gestion manuelle de ces informations. À l'avenir, nous prévoyons de prendre en charge davantage de types de services de gestion des secrets pour répondre aux besoins croissants des utilisateurs, en assurant à la fois flexibilité et sécurité dans la gestion des informations sensibles.

Tags:
API Security
Data Security
API7 Enterprise