OpenTofu представляет эфемерную поддержку для более безопасного управления секретами
В ночных сборках OpenTofu добавлены функции Ephemeral и Write-Only, которые скоро появятся в версии 1.11 для более эффективного управления секретами и состоянием.
OpenTofu, управляемый сообществом инструмент IaC (форк Terraform) под руководством Linux Foundation, представил в своих ночных сборках эфемерные атрибуты — давно запрашиваемую функцию, призванную предотвратить сохранение конфиденциальных значений в файлах состояния. Но прежде чем мы продолжим, позвольте мне пояснить, о чём именно идёт речь.
Как следует из их названия, эфемерные атрибуты позволяют значениям существовать только во время одного выполнения OpenTofu CLI (планирование/применение) и сразу же удаляются после этого. На практике это означает, что если вы пометите определенные атрибуты как эфемерные, они не будут сохраняться в состоянии.
Цель предельно ясна — речь идёт о безопасности, которая помогает устранить один из давних рисков в рабочих процессах в стиле Terraform: случайное раскрытие секретов или ключей, сохранённых в state. Таким образом, благодаря этой новой поддержке пользователи, настроившие атрибуты как эфемерные, получают:
- Атрибут будет принимать входные данные (например, пароль, ключ) во время планирования или подачи заявки.
- Это никогда не записывается в протокол.
- Его нельзя будет прочитать позже (поскольку оно не сохраняется).
- Его можно использовать только в тех случаях, когда атрибут разрешён (для поддерживающих его ресурсов).
До сих пор пометка значений как «конфиденциальных» позволяла только скрыть их отображение в журналах. Такие значения по-прежнему отображаются в виде обычного текста в файлах состояния. И хотя шифрование состояния поддерживается, оно служит скорее защитным слоем, чем средством предотвращения хранения данных. Однако при использовании эфемерных атрибутов данные изначально не сохраняются — при условии, что рабочий процесс это поддерживает.
Кроме того, OpenTofu поддерживает дополнительную концепцию — атрибуты только для записи, которые позволяют передавать эфемерные данные в неэфемерные ресурсы. Другими словами, управляемый ресурс может принимать входные данные только для записи (например, секретные данные), которые используются при подготовке, но не сохраняются в состоянии.
Сочетание эфемерности и возможности только записи позволяет пользователям моделировать рабочие процессы, в которых работа с секретными данными носит временный характер, например при использовании SSH-туннелей, ключей KMS или задач по введению паролей, без оставления следов, которые могут быть раскрыты.
Однако, как и всё остальное, эфемерные атрибуты не являются панацеей. Поскольку данные не сохраняются, вы не сможете проверить их или повторно использовать из состояния. Кроме того, не все ресурсы или провайдеры могут сразу начать поддерживать эфемерные атрибуты или атрибуты только для записи; совместимость зависит от конкретной реализации ресурса.
И последнее, но не менее важное: эта функция в настоящее время доступна только в ночных сборках OpenTofu и не готова к использованию в продакшене. Она должна появиться в версии 1.11. Поэтому разработчики проекта настоятельно не рекомендуют использовать её в продакшене.
Для получения дополнительной информации см. объявление.
Редактор: AndreyEx
