Khi sử dụng Apidog, bạn có thể lấy các secret từ các vault bên ngoài như HashiCorp Vault, Azure Key Vault và AWS Secrets Manager, đồng thời sử dụng chúng như các biến toàn cục khi gửi yêu cầu.Quản trị viên có thể cấu hình tích hợp với các vault bên ngoài cho nhóm và dự án, cho phép người dùng đăng nhập bằng OAuth 2.0 hoặc access token riêng của họ để lấy secret một cách an toàn. Các secret đã lấy sẽ được mã hóa và lưu trữ trong client cục bộ của bạn, bảo đảm quyền riêng tư và bảo mật.Cấu hình Vault Provider#
Trên trang tài nguyên nhóm, bạn có thể cấu hình nhiều vault provider cho nhóm của mình. Mỗi provider có thể được chỉ định cho các dự án khác nhau tùy theo yêu cầu.Trong dự án, bạn có tùy chọn tùy chỉnh vault provider cho riêng dự án đó hoặc sử dụng provider đã được cấu hình ở cấp độ nhóm.Tìm hiểu thêm về các provider cụ thể:Liên kết và lấy Secret#
1.
Nhấp vào nút bên cạnh menu môi trường ở góc trên bên phải của dự án và chọn Vault Secrets.
2.
Trong ô nhập Value, cấu hình metadata cho secret được lưu trữ trong vault bên ngoài (ví dụ: engine, path, key). Metadata bắt buộc sẽ khác nhau tùy theo vault provider.
3.
Nhấp vào Fetch Secrets để truy xuất secret; secret này sẽ được mã hóa an toàn và lưu trữ trên client cục bộ của bạn.
Sử dụng Secret#
Secret có thể được sử dụng trong bất kỳ ngữ cảnh nào hỗ trợ biến, theo cú pháp {{vault:key}}.Trong script, bạn có thể sử dụng await pm.vault.get("key") để truy xuất giá trị của secret. Nếu bạn sử dụng console.log để in giá trị, giá trị đó sẽ được che để bảo mật.Giá trị secret không bao giờ được chia sẻ với các thành viên trong nhóm. Tuy nhiên, tên biến và metadata được chia sẻ để loại bỏ nhu cầu cấu hình lại. Các thành viên trong nhóm có thể lấy secret bằng quyền phù hợp, bảo đảm sự cân bằng giữa cộng tác và quyền riêng tư.
Lợi ích cho doanh nghiệp#
Lưu trữ secret an toàn: Vault cung cấp một cách an toàn để lưu trữ thông tin nhạy cảm như API key, mật khẩu, chứng chỉ và token, bảo đảm chúng được bảo vệ khỏi truy cập trái phép.
Kiểm soát truy cập: Vault cho phép tổ chức xác định các chính sách kiểm soát truy cập nghiêm ngặt, bảo đảm chỉ người dùng hoặc dịch vụ được ủy quyền mới có thể truy cập các secret cụ thể.
Mã hóa: Vault thường cung cấp tính năng mã hóa tích hợp để bảo vệ dữ liệu cả khi lưu trữ và khi truyền tải, bổ sung thêm một lớp bảo mật.
Kiểm toán và giám sát: Vault cung cấp khả năng kiểm toán và giám sát để theo dõi ai đã truy cập secret nào và khi nào, hỗ trợ tuân thủ và phát hiện truy cập trái phép.
Tích hợp với các dịch vụ khác: Vault được thiết kế để tích hợp liền mạch với các dịch vụ đám mây khác (bao gồm Apidog) và công cụ DevOps, hỗ trợ quản lý secret trên nhiều môi trường.
Quản lý tập trung: Vault cung cấp một phương thức tập trung để quản lý secret trên nhiều ứng dụng, dịch vụ và môi trường khác nhau, giảm chi phí qu�ản lý.
Giảm thiểu rủi ro: Bằng cách giảm khả năng thông tin xác thực bị hardcode vào ứng dụng hoặc rò rỉ vào mã nguồn, vault giúp giảm thiểu rủi ro lộ thông tin xác thực.
Điều kiện tiên quyết#
