การจัดการ Key และ Secret
Key, password, API key, connection secret และ token ต้องถูกเก็บ หมุนเวียน และเพิกถอน (revoke) ได้.
เริ่มอ่านตรงนี้ก่อน
อธิบายแบบง่าย
การจัดการ Key และ Secret คือเรื่องที่ช่วยให้เราใช้ป้องกันข้อมูล สิทธิ์ key token และความเสี่ยงจากการแชร์ผิดทางได้ถูกทางขึ้น
ระดับ
เหมาะกับคนที่ต้องตรวจงานหรือวางมาตรฐาน
ใช้เมื่อไหร่
มี connector, API, webhook (จุดรับแจ้งเตือนอัตโนมัติจากระบบอื่น), service account (บัญชีระบบที่ไม่ใช่ของคน) หรือ flow ที่เรียกระบบภายนอก.
อ่านแล้วทำอะไรต่อ
Flow ที่ใช้ connection ส่วนตัวเสี่ยงหยุดทำงานเมื่อเจ้าของเปลี่ยน ควรมีการกำกับดูแล service account หรือรอบทบทวนเจ้าของ.
เห็นภาพ: ทริคนี้เป็นยังไง
- 1สร้าง / ออกกุญแจความยาวพอ สุ่มจริง
- 2เก็บใน vaultไม่ฝังในโค้ด/ไฟล์ config
- 3ใช้งานแบบจำกัดสิทธิ์เฉพาะที่จำเป็น
- 4หมุนเวียนเป็นระยะrotate ตามรอบ
- 5เพิกถอนเมื่อหลุดrevoke ทันที
▶ เล่นอัตโนมัติ · ชี้เมาส์เพื่อหยุด · กดแถบด้านบนเพื่อข้ามขั้น
ใช้ตอนไหน?
- มี connector, API, webhook (จุดรับแจ้งเตือนอัตโนมัติจากระบบอื่น), service account (บัญชีระบบที่ไม่ใช่ของคน) หรือ flow ที่เรียกระบบภายนอก.
- มี environment (สภาพแวดล้อมที่แยกเก็บแอปและข้อมูล) หรือแอปที่หลายคนดูแลร่วมกัน.
- ต้องเตรียมแผนเมื่อเจ้าของลาออกหรือ token หลุด.
ความหมาย
Secret (ข้อมูลลับ) คือข้อมูลที่ถ้าหลุดแล้วคนอื่นอาจเข้าระบบแทนเราได้ ส่วน key คือสิ่งที่ใช้เข้ารหัส ถอดรหัส หรือพิสูจน์สิทธิ์ จึงต้องมีวงจรชีวิตที่ชัดเจน.
วงจรชีวิตของข้อมูลลับ
สร้าง เก็บ ใช้ หมุนเวียน เพิกถอน และตรวจย้อนหลัง.
create -> store -> use -> rotate -> revoke -> auditตัวอย่างการใช้
เจ้าของ connector ของ flow
Flow ที่ใช้ connection ส่วนตัวเสี่ยงหยุดทำงานเมื่อเจ้าของเปลี่ยน ควรมีการกำกับดูแล service account หรือรอบทบทวนเจ้าของ.
API key หลุด
ถ้า key หลุด ต้องเพิกถอน key เดิม สร้าง key ใหม่ ตรวจ log และดูว่ามีข้อมูลถูกเรียกผิดปกติไหม.