我们如何在计划/应用日志中不暴露秘密的情况下将秘密写入金库?

时间:2019-01-01 17:22:27

标签: jenkins terraform jenkins-groovy hashicorp-vault terraform-provider-aws

我试图生成一个随机字符串作为RDS的密码,然后将其写回到Vault(使用vault_generic_secret资源)。我这样做很成功,但是问题是密码显示在Jenkins日志的输出中。

我认为此问题已在较新版本的Vault提供程序中得到解决。但是我不能升级提供程序版本(使用1.2.0 atm),因为它是由另一个团队管理的。因此,我认为这些选项类似于使用random_string资源生成随机字符串,然后使用curl将其写回到Vault。这样,我将不必使用vault_generic_secret资源,因此在Jenkins构建日志中不会显示密码。

有人提到包装terraform代码,然后将+扔给它。例如:/ bin / bash + x地形计划..

但是当我运行以下代码

sh +x "terraform plan -no-color -out=tfplan -input=false -var-file=${tfvars}"

它说了一个错误-

org.codehaus.groovy.control.MultipleCompilationErrorsException: startup failed: WorkflowScript: 150: expecting '}', found 'terraform plan -no-color -out=tfplan -input=false -var-file=' @ line 150, column 11. sh +x "terraform plan -no-color -out=tfplan -input=false -var-file=${tfvars}" ^

0 个答案:

没有答案
相关问题
最新问题