在 Terraform 中隐藏密码敏感 - Shell/Bash

很多时候，在 Terraform 的配置文件中需要配置敏感信息，比如 SSH 密钥、API 密钥等。然而，把这些敏感信息明文写入 Terraform 文件会带来非常高的风险，因为 Terraform 配置文件通常会通过版本控制系统来共享和管理。为了避免这种情况发生，需要将这些敏感信息加密并以安全的方式存储。

这篇文章将介绍如何在 Terraform 中隐藏密码敏感，使用 Shell/Bash 编写脚本实现敏感信息的加密、存储和解密。

环境准备

这里需要先安装以下软件：

• openssl：用于生成密钥和加密/解密数据
• base64: 用于将二进制编码成可打印的 ASCII 字符，便于存储和传输

加密存储敏感信息

首先，我们需要在 Shell/Bash 中编写一个加密脚本。这个脚本将

1. 生成一个随机的加密密钥
2. 使用该密钥对敏感信息进行加密
3. 将加密后的字符串使用 base64 编码，并存储到文件中

可以使用以下命令来创建一个 encrypt.sh 脚本：

#!/usr/bin/env bash

# 生成一个随机密钥
key=$(openssl rand -hex 32)

# 从命令行读入敏感信息
read -sp "Enter sensitive data:" data

# 使用密钥加密数据，并进行 base64 编码
cipher=$(echo "$data" | openssl aes-256-ctr -a -k "$key")

# 将加密后的内容存储到文件中
echo "$cipher" > sensitive_data.txt

# 将刚生成的密钥存储到文件中，以方便解密时使用
echo "$key" > key.txt

# 输出密钥和加密后的内容
echo "Key: $key"
echo "Encrypted data: $cipher"

接下来，我们可以执行该脚本，并输入敏感数据进行加密。加密后的密文和密钥将分别存储到 sensitive_data.txt 和 key.txt 文件中。

$ sh encrypt.sh
Enter sensitive data: [输入敏感信息]
Key: 0e0f8a1e2de1dfc3e730cc0465d7bac9f3fca513ea884e7f00f2b3d1fd738501
Encrypted data: WdcENxiMDMxp

解密敏感信息

为了解密存储的敏感信息，我们需要编写一个解密脚本。解密脚本将

1. 读取使用的加密密钥
2. 读取存储的加密数据，并使用该密钥解密
3. 输出解密后的数据

可以使用以下命令来创建一个 decrypt.sh 脚本：

#!/usr/bin/env bash

# 从文件中读取密钥
key=$(cat key.txt)

# 从文件中读取加密数据
cipher=$(cat sensitive_data.txt)

# 使用密钥解密数据
data=$(echo "$cipher" | openssl aes-256-ctr -a -d -k "$key")

# 输出解密后的数据
echo "Decrypted data: $data"

执行该脚本即可获得我们存储的敏感信息。

$ sh decrypt.sh
Decrypted data: [解密后的敏感信息]

结论

通过使用 Shell/Bash 编写加密和解密脚本，我们可以安全地存储和管理敏感信息，避免泄露和滥用。在实践中，可以使用工具如 vault 来管理加密密钥和敏感信息的存储。