构建安全的机密管理器
Posted: Tue Apr 22, 2025 9:04 am
现在,您可以创建可以在所有 Workers 脚本之间共享的帐户级机密和变量,并在机密存储中集中管理和保护。
当然,秘密存储最重要的功能是确保您的秘密得到安全存储。
一旦创建了 secret,其值将无法被任何人读取,无论是开发人员、管理员 贝宁电报号码数据 还是 Cloudflare 员工。只有获得授权的服务才能在运行时使用该值。
这就是为什么当您将新的密钥部署到 Cloudflare 时,首先要加密密钥,然后再将其存储到我们的数据库中。我们使用两级密钥层次结构来确保您的令牌安全可靠,其中根密钥永远不会离开安全系统。这是通过使用 DEK(数据加密密钥)来加密您的密钥,并使用单独的 KEK(密钥加密密钥)来加密 DEK 本身来实现的。数据加密密钥会频繁刷新,从而将单个 DEK 泄露的可能性和影响范围降至非常小。未来,我们将引入 KEK 的定期密钥轮换功能,并为客户提供拥有自己账户专属 DEK 的方法。
机密加密后,将机密从机密存储部署到工作器时,需要进行两项权限检查。首先,用户必须拥有足够的权限来创建绑定。其次,当工作器发出调用fetch以检索机密值时,我们会验证该工作器是否拥有访问该机密的适当绑定。
当然,秘密存储最重要的功能是确保您的秘密得到安全存储。
一旦创建了 secret,其值将无法被任何人读取,无论是开发人员、管理员 贝宁电报号码数据 还是 Cloudflare 员工。只有获得授权的服务才能在运行时使用该值。
这就是为什么当您将新的密钥部署到 Cloudflare 时,首先要加密密钥,然后再将其存储到我们的数据库中。我们使用两级密钥层次结构来确保您的令牌安全可靠,其中根密钥永远不会离开安全系统。这是通过使用 DEK(数据加密密钥)来加密您的密钥,并使用单独的 KEK(密钥加密密钥)来加密 DEK 本身来实现的。数据加密密钥会频繁刷新,从而将单个 DEK 泄露的可能性和影响范围降至非常小。未来,我们将引入 KEK 的定期密钥轮换功能,并为客户提供拥有自己账户专属 DEK 的方法。
机密加密后,将机密从机密存储部署到工作器时,需要进行两项权限检查。首先,用户必须拥有足够的权限来创建绑定。其次,当工作器发出调用fetch以检索机密值时,我们会验证该工作器是否拥有访问该机密的适当绑定。