在 CI/CD 流水线中使用 Vault、AWS Secrets Manager 和平台原生的密钥管理解决方案安全地存储和管理敏感凭证。
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“secrets-management”。 如何将 Vault 与 GitHub Actions 集成?
预期结果:
使用 hashicorp/vault-action 获取密钥。首先,确保 VAULT_ADDR 和 VAULT_TOKEN 已设置为仓库密钥。然后添加一个使用该 action 的步骤,将密钥映射到环境变量,以便在后续步骤中使用。
正在使用“secrets-management”。 存储 API 密钥的最佳实践是什么?
预期结果:
切勿在源代码中硬编码 API 密钥。将它们存储在 Vault 或 AWS Secrets Manager 等密钥管理器中。在 CI/CD 中,将它们引用为在运行时注入的环境变量。为每个环境使用不同的密钥并定期轮换。
安全审计
安全This is a documentation and educational skill that teaches secure secrets management practices. All static findings (external_commands, network, env_access) are false positives - they represent example code blocks showing proper secrets handling, not actual security vulnerabilities. The skill demonstrates legitimate use of Vault, AWS Secrets Manager, GitHub Secrets, and GitLab CI variables.
质量评分
你能构建什么
DevOps 工程师保护 CI/CD 流水线
使用 Vault 或 AWS Secrets Manager 为自动化部署流水线设置安全的凭证处理。
开发者管理 API 密钥
学习存储和轮换 API 密钥及数据库凭证的最佳实践,无需硬编码。
安全工程师实施密钥审计
实施密钥扫描和审计日志记录,用于合规性和安全监控。
试试这些提示
展示如何将 HashiCorp Vault 与 GitHub Actions 集成,以便在 CI/CD 流水线执行期间安全地获取密钥。
如何在 AWS Secrets Manager 中存储数据库密码并在 CI/CD 流水线中检索它?
在 GitHub Actions 中配置仓库密钥的最佳实践是什么?
展示如何使用 AWS Lambda 为数据库密码设置自动密钥轮换。
最佳实践
- 切勿将密钥提交到版本控制 - 使用密钥管理器
- 为每个环境(开发、测试、生产)使用不同的密钥
- 启用管理工具进行审计日志记录,跟踪密钥访问和使用情况
- 使用自动轮换功能定期轮换密钥
- 实施最小权限访问 - 仅授予必要的权限
- 在 CI/CD 日志中屏蔽密钥以防止泄露
避免
- 在源代码或配置文件中硬编码密钥
- 将密钥存储在会被记录的环境变量中
- 在多个环境中使用相同的密钥
- 为 CI/CD 服务账户授予过度权限
- 提交包含真实凭证的 .env 文件或配置文件