forked from 9652040795/aws-policies
-
Notifications
You must be signed in to change notification settings - Fork 0
/
Springboot-Application-Secrets-Management-Automation-High-Security
221 lines (153 loc) · 8.23 KB
/
Springboot-Application-Secrets-Management-Automation-High-Security
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
# AWS ECS Secret Management
# https://docs.aws.amazon.com/secretsmanager/latest/userguide/tutorials_basic.html
Note: Mentioned below can be set as Environment Variables in ECS Task Definition for containers.
# Environment Variables # Secret Name # Secrets Manager ARN
WORDPRESS_DB_HOST WORDPRESS_DB_HOST arn:aws:secretsmanager:us-east-1:756733226641:secret:WORDPRESS_DB_HOST-Z8BiVD
WORDPRESS_DB_NAME WORDPRESS_DB_NAME arn:aws:secretsmanager:us-east-1:756733226641:secret:WORDPRESS_DB_NAME-5Pug4S
WORDPRESS_DB_USER WORDPRESS_DB_USER arn:aws:secretsmanager:us-east-1:756733226641:secret:WORDPRESS_DB_USER-NfCMTu
WORDPRESS_DB_PASSWORD WORDPRESS_DB_PASSWORD arn:aws:secretsmanager:us-east-1:756733226641:secret:WORDPRESS_DB_PASSWORD-B7Q6Uq
# In task Definition simply provide
WORDPRESS_DB_HOST valuesfrom arn:aws:secretsmanager:us-east-1:756733226641:secret:WORDPRESS_DB_HOST-Z8BiVD
# AWS Secret Manager
#######################################################################################################
aws secretsmanager create-secret --name dbpassword --description "RDS Secret" --secret-string 12345678
########################################################################################################
aws secretsmanager get-secret-value --secret-id dbpassword
#########################################################################################################
arn:aws:secretsmanager:us-east-1:427318149626:secret:dbpass-vPCto9
# AWS Parameter Store
---> https://docs.aws.amazon.com/cli/latest/reference/ssm/put-parameter.html
---> https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-securestring.html
Example 1: To change a parameter value
The following put-parameter example changes the value of the specified parameter.
# Secure
aws ssm put-parameter \
--name parameter-name \
--value "parameter-value" \
--type SecureString
aws ssm put-parameter \
--name "dbpassword" \
--value "12345678" \
--type SecureString \
--overwrite
# Unsecure
aws ssm put-parameter \
--name "dbpassword" \
--type "String" \
--value "123456789999" \
--overwrite
aws ssm get-parameters --names "dbpassword"
SSM-Parameter
arn:aws:ssm:us-east-1:427318149626:parameter/dbpassword
#### ECS Policy####
# aws ecs fargate can't fetch secret manager
# https://stackoverflow.com/questions/55568371/aws-ecs-fargate-cant-fetch-secret-manager
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetParameters",
"secretsmanager:GetSecretValue",
"kms:Decrypt"
],
"Resource": [
"arn:aws:secretsmanager:<region>:<aws_account_id>:secret:secret_name"
]
}
]
}
# https://docs.aws.amazon.com/mediaconnect/latest/ug/iam-policy-examples-asm-secrets.html
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetResourcePolicy",
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecretVersionIds"
],
"Resource": [
"arn:aws:secretsmanager:us-west-2:111122223333:secret:*"
]
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetParameters",
"secretsmanager:GetSecretValue",
"kms:Decrypt"
],
"Resource": [
"arn:aws:ssm:<region>:<aws_account_id>:parameter/parameter_name",
"arn:aws:secretsmanager:<region>:<aws_account_id>:secret:secret_name",
"arn:aws:kms:<region>:<aws_account_id>:key/key_id"
]
}
]
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetResourcePolicy",
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecretVersionIds"
],
"Resource": [
"*"
]
}
]
}
############################################################################ DEMO #################################################################
# On_premises/Your_Home/Your_Laptop/Any_Cloud/_Moon/Jupiter
---> Simply get your access keys & Secret Access Keys from DevOps with limited priviledges.
# Usage
---> #Install mentioned below packages ---> Install jq for Windows/Mac/Ubuntu is also available
yum update -y
yum install mysql -y
yum install jq -y
# https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/get-secret-value.html
#######################################################################################
aws secretsmanager get-secret-value --secret-id MySQLSecret --region eu-central-1
########################################################################################
####################################################################################################
aws secretsmanager get-secret-value --secret-id MySQLSecret --region eu-central-1 | jq .SecretString
####################################################################################################
##################################################################################################################
aws secretsmanager get-secret-value --secret-id MySQLSecret --region eu-central-1 | jq .SecretString | jq fromjson
###################################################################################################################
################################################### NETFLIX EUREKA SPRING BOOT ######################################################################
# Spring Boot Application Secure Implementation Kubernetes/docker & docker-compose
##################################################################################################################
aws secretsmanager create-secret --name dbpassword --description "Secret of Success forever" --secret-string Islam
###################################################################################################################
aws secretsmanager get-secret-value --secret-id dbpassword --region us-east-1
aws secretsmanager get-secret-value --secret-id dbpassword --region us-east-1 | grep -i SecretString | awk -F ":" '{print $2}' | cut -f 1 -d ","
aws secretsmanager get-secret-value --secret-id dbpassword --region us-east-1 | jq .SecretString
aws secretsmanager get-secret-value --secret-id dbpassword --region us-east-1 | jq .SecretString | jq fromjson
##############################################################################################################################################################
dbpassword=`aws secretsmanager get-secret-value --secret-id dbpassword --region us-east-1 | grep -i SecretString | awk -F ":" '{print $2}' | cut -f 1 -d ","`
##############################################################################################################################################################
mydbpassword=`aws secretsmanager get-secret-value --secret-id dbpassword --region us-east-1 | jq .SecretString`
################################################################################################################################################################
# Running without Environment Variable default is setup
docker run --name secret -p 8090:8080 --restart unless-stopped -id quickbooks2018/spring-boot-aws-secrets-manager:latest
# Running with Environment variable to give Custom Value
docker run --name secret -p 80:8080 -e SHIRT_SIZE="Doosra" --restart unless-stopped -id quickbooks2018/spring-boot-aws-secrets-manager:latest
# Running with AWS Secrets Manager & giving a value of secret to the container (2 Examples)
docker run --name secret -p 80:8080 -e SHIRT_SIZE="$dbpassword" --restart unless-stopped -id quickbooks2018/spring-boot-aws-secrets-manager:latest
docker run --name mydbsecret -p 8080:8080 -e SHIRT_SIZE="$mydbpassword" --restart unless-stopped -id quickbooks2018/spring-boot-aws-secrets-manager:latest
# Spring Boot Application Secure Implementation for AWS ECS
---> valuesfrom arnofthesecret