AWS I segreti di Blu Age Runtime

Alcune configurazioni di risorse che contengono credenziali possono essere ulteriormente protette utilizzando segreti. AWS L'idea è di archiviare i dati critici in un luogo AWS segreto e di inserire un riferimento a tale segreto nella configurazione YAML, in modo che il contenuto segreto venga raccolto all'avvio di Apache Tomcat.

Segreti per Aurora

La configurazione del database Aurora (per JICSBlusam, customer db e così via) utilizzerà il segreto del database integrato, che popolerà automaticamente tutti i campi pertinenti dal database corrispondente.

Nota

La dbname chiave è facoltativa, a seconda della configurazione del database, entrerà nel segreto o meno. Puoi aggiungerla lì manualmente o fornendo il nome al file YAML.

Altri segreti

Altri segreti riguardano le risorse con un'unica password (in particolare le cache redis protette da password). In questo caso è necessario utilizzare l'altro tipo di segreto.

Riferimenti YAML ai segreti

application-main.ymlPossono fare riferimento all'ARN segreto per varie risorse:

Database JICS

Credenziali del database JICS con spring.aws.jics.db.secret

spring:
   aws:
     jics:
       db:
         dbname: jics
         secret: arn:aws:secretsmanager:XXXX

Chiavi segrete del database JICS supportate:

Chiave segreta	Descrizione della chiave segreta
host	Il nome dell'host
port	La porta
dbname	Il nome del database
username	Il nome utente
password	La password
engine	Motore di database: Postgres, Oracle, Db2, Microsoft SQL Server
Schema attuale	Schema specifico da utilizzare (solo supporto Db2)
Connessione SSL	Se utilizzare la connessione SSL (solo supporto Db2)
sslTrustStoreLocation	La posizione del truststore sul client (solo supporto Db2)
sslTrustStorePassword	La password per il truststore sul client (solo supporto Db2)

Nota

Il nome del database viene fornito nel segreto o nel riferimento yaml. spring.aws.jics.db.dbname

Database Blusam

Blusamcredenziali del database con spring.aws.client.bluesam.db.secret

spring:
   aws:
     client:
       bluesam:
         db:
           dbname: bluesam 
           secret: arn:aws:secretsmanager:XXXX

Chiavi segrete Blusam del database supportate:

Chiave segreta	Descrizione della chiave segreta
host	Il nome dell'host
port	La porta
dbname	Il nome del database
username	Il nome utente
password	La password
engine	Motore di database: Postgres

Nota

Il nome del database viene fornito nel segreto o nel riferimento yaml. spring.aws.client.bluesam.db.dbname

Database client

Il client application-profile.yml può fare riferimento all'ARN segreto per il database del client. Ciò richiede una proprietà aggiuntiva per elencare i nomi delle origini dati. spring.aws.client.datasources.names Per ogni nome di origine dati, ds_name specificare l'ARN segreto nella seguente proprietà:. spring.aws.client.datasources.ds_name.secret Esempio:

spring:
   aws:
     client:
       datasources:
         names: primary,host 
         primary:
           secret: arn:aws:secretsmanager:XXXX
         host:
           dbname: hostdb 
           secret: arn:aws:secretsmanager:XXXX

nomi: primario, host:

Un esempio con due origini dati client denominate primary e host, ognuna con il proprio database e le proprie credenziali.

dbname: hostdb:

In questo esempio, il nome del database «host» non è nel segreto e viene invece fornito qui, mentre per il database «primario» è nel segreto.

Chiavi segrete del database client supportate:

Chiave segreta	Descrizione della chiave segreta
host	Il nome dell'host
port	La porta
dbname	Il nome del database
username	Il nome utente
password	La password
engine	Motore di database: Postgres, Oracle, Db2, Microsoft SQL Server
Schema attuale	Schema specifico da utilizzare (solo supporto Db2)
Connessione SSL	Se utilizzare la connessione SSL (solo supporto Db2)
sslTrustStoreLocation	La posizione del truststore sul client (solo supporto Db2)
sslTrustStorePassword	La password per il truststore sul client (solo supporto Db2)

Database di utilità PGM

application-utility-pgm.ymlPossono fare riferimento all'ARN segreto per varie risorse.

• spring.aws.client.datasources.primary

  • secret

    ARN segreto per il database dell'applicazione.

Tipo: stringa

• type

Nome completo dell'implementazione del pool di connessioni da utilizzare.

Tipo: stringa

Impostazione predefinita: com.zaxxer.hikari.HikariDataSource

• spring.aws.client.utility.pgm.datasources

  • names

Elenco dei nomi delle fonti di dati.

Tipo: stringa

• dsname

  • dbname

Nome dell'host.

Tipo: stringa

• secret

ARN segreto del database host.

Tipo: stringa

• type

Nome completo dell'implementazione del pool di connessioni da utilizzare.

Tipo: stringa

Impostazione predefinita: com.zaxxer.hikari.HikariDataSource

Per un segreto basato su più origini dati:

spring:
   aws:
     client:
       primary:
         secret: arn:aws:secretsmanager:XXXX
         type: dataSourceType
       utility:
         pgm:
           datasources:
             names: dsname1,dsname2,dsname3
               dsname1:
                 dbname: dbname1
                 secret: arn:aws:secretsmanager:XXXX
                 type: dataSourceType
               dsname2:
                 dbname: dbname2
                 secret: arn:aws:secretsmanager:XXXX
                 type: dataSourceType
               dsname3:
                 dbname: dbname3
                 secret: arn:aws:secretsmanager:XXXX
                 type: dataSourceType

Nessuna chiave segreta supportata da XA

• motore () postgres/oracle/db2/mssql

• port

• dbname

• Schema corrente

• username

• password

• url

• Connessione SSL

• sslTrustStoreLocation

• sslTrustStorePassword

Perché postgres solo il valore della chiave sslMode segreta (disable/allow/prefer/require/verify-ca/verify-full) e la proprietà spring.aws.rds.ssl.cert-path YAML consentono la connessione con SSL.

XA supportava le chiavi segrete

Se il database del client utilizza XA, le proprietà xa secondarie sono supportate tramite valori segreti.

• host

• port

• dbname

• Schema corrente

• username

• password

• url

• Connessione SSL (vero/falso)

• sslTrustStoreLocation

• sslTrustStorePassword

Tuttavia, per altre proprietà xa (ad esempio maxPoolSize odriverType), spring.jta.atomikos.datasource.XXXX.unique-resource-name deve essere comunque fornita la normale chiave YAML.

Il valore segreto ha la precedenza sulle proprietà YAML.

Super Admin BAC e JAC predefiniti

Puoi anche configurare application-main.yml per recuperare il nome utente e la password dell'utente super amministratore predefinito nel segreto di AWS Secrets Manager specificando l'ARN. L'esempio seguente mostra come dichiarare questo segreto in un file YAML.

spring:
   aws:
     client:
       defaultSuperAdmin:
         secret: arn:aws:secretsmanager:XXXX

Chiavi segrete del database super admin predefinite supportate:

Chiave segreta	Descrizione della chiave segreta
username	Il nome utente.
password	La password.

OAuth2

Puoi anche configurare `application-main.yml` per recuperare il OAuth2 segreto del client specificando il provider e l'ARN. AWS Secrets Manager Il valore predefinito per la proprietà del provider è Amazon Cognito. Di seguito è riportato un esempio di configurazione per il OAuth2 provider Keycloak:

spring:
   aws:
     client:
       provider: keycloak
       keycloak:
         secret: arn:aws:secretsmanager:XXXX

In questo esempio, il client-secret per il OAuth2 provider Keycloak viene recuperato dall'ARN specificato in AWS Secrets Manager. Questa configurazione supporta più provider risolvendo dinamicamente il nome del provider e l'ARN segreto corrispondente.

Chiavi segrete supportate OAuth2 :

Chiave segreta	Descrizione della chiave segreta
segreto del cliente	Il segreto generato dal server di autorizzazione durante il processo di registrazione dell'applicazione.

Gestore segreto per le cache Redis

Il application-main.yml file può fare riferimento all'ARN segreto per le cache Redis. Quelle supportate sono:

• Credenziali Gapwalk Redis con spring.aws.client.gapwalk.redis.secret

• Credenziali Bluesam Redis con spring.aws.client.bluesam.redis.secret

• Bluesam blocca le credenziali Redis con spring.aws.client.bluesam.locks.redis.secret

• Dataset cataloga le credenziali Redis con spring.aws.client.dataset.catalog.redis.secret

• Credenziali ICS Redis con spring.aws.client.jics.redis.secret

• Credenziali Redis della sessione con spring.aws.client.jics.redis.secret

• Credenziali Redis del tracker di sessione con spring.aws.client.session.tracker.redis.secret

• JICS TS mette in coda le credenziali Redis con spring.aws.client.jics.queues.ts.redis.secret

• Credenziali Redis del checkpoint JCL con spring.aws.client.jcl.checkpoint.redis.secret

• I file Gapwalk bloccano le credenziali Redis con spring.aws.client.gapwalk.files.locks.redis.secret

• Blu4iv blocca le credenziali Redis con spring.aws.client.blu4iv.locks.redis.secret

L'esempio seguente mostra come dichiarare questi segreti in un file YAML.

spring:
   aws:
     client:
       gapwalk:
         redis:
           secret: arn:aws:secretsmanager:XXXX
       bluesam:
         locks:
           redis:
             secret: arn:aws:secretsmanager:XXXX
         redis:
           secret: arn:aws:secretsmanager:XXXX
       dataset:
         catalog:
           redis:
             secret: arn:aws:secretsmanager:XXXX
       jics:
         redis:
           secret: arn:aws:secretsmanager:XXXX
       session:
         tracker:
           redis:
             secret: arn:aws:secretsmanager:XXXX
       jics:
         queues:
           ts:
             redis:
               secret: arn:aws:secretsmanager:XXXX
       jcl:
         checkpoint:
           redis:
             secret: arn:aws:secretsmanager:XXXX
       gapwalk:
         files:
           locks:
             redis:
               secret: arn:aws:secretsmanager:XXXX
       blu4iv:
         locks:
           redis:
             secret: arn:aws:secretsmanager:XXXX

Chiavi segrete Redis supportate:

Chiave segreta	Descrizione della chiave segreta
hostname	Il nome host del server Redis.
port	La porta del server Redis.
username	Il nome utente.
password	La password.

Gestore segreto per le impostazioni delle password SSL

Il application-main.yml file può fare riferimento all'ARN segreto per le impostazioni della password SSL. È supportato quanto segue.

• Credenziali SSL Gapwalk con spring.aws.client.ssl.secret

L'esempio seguente mostra come dichiarare questi segreti in un file YAML.

spring:
   aws:
     client:
       ssl:
         secret: arn:aws:secretsmanager:XXXX

Chiave segreta	Descrizione della chiave segreta
trustStorePassword	La password del truststore.
keyStorePassword	La password del keystore.

Gestore segreto per le impostazioni delle password di IBM MQ

Il application-main.yml file può fare riferimento all'ARN segreto per le impostazioni IBM MQ. È supportato quanto segue.

• Le connessioni IBM MQ sono definite come un elenco, così come le credenziali:

  mq.queues.jmsMQQueueManagers[N].secret:

  N inizia da 0 per la prima connessione.

L'esempio seguente mostra come dichiarare questi segreti in un file YAML.

mq.queues.jmsMQQueueManagers[0].secret: Secret-0-ARN 
mq.queues.jmsMQQueueManagers[1].secret: Secret-1-ARN 

Per informazioni sul segreto ARNs, vedi Cosa c'è in un segreto di Secrets Manager?

Le proprietà definite nel segreto sovrascriveranno i valori corrispondenti nella configurazione jmsMQ YAML.

Se queueManager è impostato nel segreto, sovrascriverà il mq.queues.jmsMQQueueManagers[N].jmsMQQueueManager valore nel file YAML.

Chiave segreta	Descrizione della chiave segreta
QueueManager	Il nome del gestore di code IBM MQ.
Nome dell'app	Il nome dell'applicazione IBM MQ.
canale	Il nome del canale IBM MQ.
host	Il nome host IBM MQ.
port	La porta IBM MQ.
userId	Il nome utente IBM MQ.
password	La password utente IBM MQ.
maxPoolSize	La dimensione massima del pool IBM MQ.
sslCipherKey	La suite di crittografia SSL IBM MQ.