Terraform-provider-local: local_file को आउटपुट में संवेदनशील जानकारी को प्रिंट नहीं करना चाहिए यदि संवेदनशील = सत्य

को निर्मित 22 अग॰ 2018 · 14टिप्पणियाँ · स्रोत: hashicorp/terraform-provider-local

_यह मुद्दा मूल रूप से @mtheus द्वारा हैशिकॉर्प /टेराफॉर्म#18718 के रूप में खोला गया था। प्रदाता विभाजन के परिणामस्वरूप इसे यहां माइग्रेट किया गया था। मुद्दे का मूल भाग नीचे है।_

टेराफॉर्म संस्करण

Terraform v0.11.8

टेराफॉर्म कॉन्फ़िगरेशन फ़ाइलें

resource "local_file" "kubeconfig" {
    sensitive = true
    content  = "${data.terraform_remote_state.kubernetes.kubeconfig}"
    filename = ".kube/config"
}

डीबग आउटपुट

अपेक्षित् व्यवहार

आउटपुट में संवेदनशील जानकारी नहीं लगती है

वास्तविक व्यवहार

data.terraform_remote_state.kubernetes: Refreshing state...
local_file.kubeconfig: Creating...
  content:  "" => "\n\napiVersion: v1\nclusters:\n- cluster:\n    server: https://**<SENSIVE>**.sk1.us-east-1.eks.amazonaws.com\n    certificate-authority-data: LS0tLS1C**<SENSIVE>**\n  name: kubernetes\ncontexts:\n- context:\n    cluster: kubernetes\n    user: aws\n  name: aws\ncurrent-context: aws\nkind: Config\npreferences: {}\nusers:\n- name: aws\n  user:\n    exec:\n      apiVersion: client.authentication.k8s.io/v1alpha1\n      command: aws-iam-authenticator\n      args:\n        - \"token\"\n        - \"-i\"\n        - \"latam\"\n"
  filename: "" => ".kube/config"
local_file.kubeconfig: Creation complete after 0s (ID: 73a74cc24de6ebfe8304a9b889415884fd819390)

प्रजनन के चरण

terraform init
terraform apply

पूरक

आउटपुट प्रिंट करने वाले सभी घटकों में लागू होना चाहिए

स्रोत

ghost

👍14

सबसे उपयोगी टिप्पणी

https://github.com/terraform-providers/terraform-provider-local/releases/tag/v1.2.0 अब बाहर है, जो sensitive_content के लिए समर्थन जोड़ता है, इसलिए मुझे लगता है कि इस मुद्दे को अब बंद किया जा सकता है।

invidian 2 अप्रैल 2019

👍4 🎉2 👀1 🚀1

सभी 14 टिप्पणियाँ

मास्टर पर कोड एक समाधान लागू करता है: sensitve_content । जो बाकी टेराफॉर्म संसाधनों के अनुरूप नहीं है लेकिन कम से कम इसका समाधान है।

हालांकि ऐसा लगता है कि यह अभी तक टेराफॉर्म v0.11.10 और प्रदाता.लोकल v1.1.0.1 में उपलब्ध नहीं है।

Lasering 6 नव॰ 2018

इसे मार्च 2018 में #9 में लागू किया गया था, लेकिन अभी तक जारी नहीं किया गया है।

alewando 13 नव॰ 2018

@alewando यहाँ धीमी प्रतिक्रिया के लिए खेद है! कोर टीम टेराफॉर्म 0.12 रिलीज पर सिर-नीचे काम कर रही है और दुर्भाग्य से कुछ चीजें (जैसे यह प्रदाता!) परिणाम के रूप में उपेक्षित हो गई हैं।

लंबित पीआर के माध्यम से जाने और एक विज्ञप्ति प्रकाशित करने के लिए खुद को याद दिलाने के लिए मैं इसे बुकमार्क करूंगा। इस विशेष मुद्दे पर काम करने के लिए धन्यवाद, और आपके धैर्य के लिए धन्यवाद!

mildwonkey 14 नव॰ 2018

👍3

@mildwonkey क्या रिलीज में कटौती का कोई मौका है? हम फोर्क कर सकते हैं और एक नई रिलीज कर सकते हैं लेकिन कस्टम प्लगइन खींचने के लिए टेराफॉर्म ऑर्केस्ट्रेशन में बॉयलर प्लेट के भार की आवश्यकता होती है।

joshmyers 9 जन॰ 2019

👍3

@mildwonkey फिर से, मैं रिलीज के लिए कहता हूं। यह आसान जीत है और इससे हमें काफी मदद मिल सकती है।

Sytten 5 मार्च 2019

👍3 😄1

@mildwonkey मुझे यह भी लगता है कि यह एक शानदार विशेषता होगी, और इसके जारी होने की प्रतीक्षा है। मैं

unacceptable 15 मार्च 2019

अस्थायी विकल्प की तलाश करने वालों के लिए, मैंने कई आरडीएस डेटाबेस के लिए क्रेडेंशियल निर्यात करने के लिए क्या किया (मेरे पास डेटाबेस/पासवर्ड का नक्शा और एक मास्टर पासवर्ड है):

locals {
  databases = "${keys(var.shared_db_databases_passwords)}"
  manual_output = {
    endpoint  = "${module.shared_database.database_endpoint}"
    username  = "myusername"
    password  = "${var.shared_db_master_password}"
    port      = 5432
    databases = "${local.databases}"
    passwords = "${values(var.shared_db_databases_passwords)}"
  }
}

resource "null_resource" "manual_output" {
  triggers {
    databases = "${join(",", local.databases)}"
  }

  provisioner "local-exec" {
    command = "echo $DATA > manual_output.json"
    environment {
      DATA = "${jsonencode(local.manual_output)}" # Necessary to hide outputs
    }
  }
}

Sytten 15 मार्च 2019

invidian 2 अप्रैल 2019

👍4 🎉2 👀1 🚀1

धन्यवाद @invidian !

mildwonkey 2 अप्रैल 2019

local_file डेटा स्रोत को भी sensitive_content . का समर्थन करना चाहिए

ShahNewazKhan 9 अप्रैल 2019

👍2

@ShahNewazKhan क्या आप कह रहे हैं कि local_file डेटा स्रोत के लिए एक विशेषता sensitive_content होनी चाहिए? यदि हां, तो इसके लिए उपयोग का मामला क्या होगा?

unacceptable 10 अप्रैल 2019

@ अस्वीकार्य कल्पना करें कि आप local_file संसाधन की सामग्री को वास्तव में एक local_file संसाधन बनाने की तुलना में एक अलग तरीके से सेट कर रहे हैं (या आप केवल एक मौजूदा फ़ाइल को पढ़ना चाहते हैं)। यदि वह सामग्री पहली जगह में संवेदनशील है, तो आपको इसे सीधे आउटपुट में या tfstate में दिखाए बिना इसे एक्सेस करने की आवश्यकता होगी।

diirib 14 जन॰ 2020

मुझे लगता है कि यह कार्यक्षमता समझ में आता है। local_file डेटा स्रोत में sensitive_filename पैरामीटर हो सकता है, जो इंगित करेगा कि सामग्री को content (और content_base64 ) के बजाय sensitive_content संपत्ति में रखा जाना चाहिए content_base64 )। हालाँकि, यह एक नए फीचर प्रस्ताव की तरह लगता है। शायद हमें इसे संबोधित करने के लिए एक और मुद्दा बनाना चाहिए?

invidian 14 जन॰ 2020

👍1

मैंने इसे अभी यहां बनाया है:
https://github.com/terraform-providers/terraform-provider-local/issues/36

मेरा मानना है कि विकल्प डेटा संरचना में मौजूद होना चाहिए, इसलिए न केवल local_file संसाधनों के माध्यम से परिभाषित फ़ाइलों से संवेदनशील_सामग्री प्राप्त करना संभव होगा, बल्कि इसे मौजूदा फ़ाइलों से प्राप्त करना भी संभव होगा।