使用 Apidog 時,你可以從外部保管庫(例如 HashiCorp Vault、Azure Key Vault 和 AWS Secrets Manager)擷取密鑰,並在傳送請求時像全域變數一樣使用它們。管理員可以為團隊和專案設定與外部保管庫的整合,讓使用者透過 OAuth 2.0 或自己的存取權杖登入,以安全地擷取密鑰。擷取到的密鑰會被加密並儲存在你的本機用戶端,確保隱私與安全性。設定 Vault 提供者#
在團隊資源頁面,你可以為團隊設定多個 Vault 提供者。每個提供者都可以根據需求指派給不同專案。在專案內,你可以選擇為該特定專案自訂 Vault 提供者,或使用在團隊層級設定的提供者。連結並擷取密鑰#
1.
點擊專案右上角環境選單旁的按鈕,並選擇 Vault Secrets。
2.
在 Value 輸入框中,設定儲存在外部保管庫中的密鑰中繼資料(例如 engine、path、key)。所需的中繼資料會依 Vault 提供者而異。
3.
點擊 Fetch Secrets 以擷取密鑰,該密鑰將會被安全地加密並儲存在你的本機用戶端。
使用密鑰#
密鑰可在任何支援變數的情境中使用,語法為 {{vault:key}}。在腳本中,你可以使用 await pm.vault.get("key") 來取得密鑰的值。如果你使用 console.log 列印該值,基於安全考量,該值會被遮罩。密鑰值永遠不會與團隊成員共享。不過,變數名稱和中繼資料會被共享,以免需要重新設定。團隊成員可以使用適當的授權來擷取密鑰,確保協作與隱私之間的平衡。
對企業的優勢#
密鑰的安全儲存:Vault 提供��安全的方式來儲存敏感資訊,例如 API 金鑰、密碼、憑證和權杖,確保它們受到保護,避免未經授權的存取。
存取控制:Vault 允許組織定義嚴格的存取控制政策,確保只有授權的使用者或服務能夠存取特定密鑰。
加密:Vault 通常提供內建加密,以保護靜態資料和傳輸中的資料,增加額外的安全層。
稽核與監控:Vault 提供稽核與監控功能,以追蹤誰在何時存取了哪個密鑰,有助於合規性以及偵測未經授權的存取。
與其他服務整合:Vault 旨在與其他雲端服務(包括 Apidog)和 DevOps 工具無縫整合,促進跨環境的密鑰管理。
集中式管理:Vault 提供集中式方式來管理不同應用程式、服務和環境中的密鑰,降低管理負擔。
降低風險:透過降低憑證被硬編碼到應用程式或洩漏到原始碼中的機率,Vault 有助於減輕憑證暴露的風險。
先決條件#
