Pulumi geliştirme ekibi, altyapı AS kod (IAC) platformunu, güvenliği otomatikleştirmek ve bulut kaynakları etrafında erişim kontrolü için yeni işlevlerle genişletiyor. Değişiklikler, diğer şeylerin yanı sıra, rol tabanlı erişim kontrolü (RBAC) için bir sistem, kayıt verilerinin otomatik olarak dönmesi ve CI/CD boru hatlarıyla çalışırken Github eylemlerinin sır yönetimi için entegrasyonu ile ilgilidir.
Otomatik Sırlar Dönüşü ve Entegre Github İş Akışları
Pulumi ESC'de (Çevre, Sırlar ve Yapılandırma Yönetimi), kullanıcılar artık statik giriş verileri için sırları otomatik olarak döndürebilir. Amaç, dinamik giriş verilerine geçmeyen ortamlarda bile güvenliği artırabilmek ve uyumluluk gereksinimlerini daha iyi karşılamaktır. Dönen Sırlar işlevi, gerekirse değişikliği başlatmanıza veya bir rotasyon planı yoluyla kontrol etmenizi sağlar. İki saniyelik bir stratejiyi takip eder, böylece her iki giriş bilgisi de geçiş aşamasında mevcuttur. Tüm değişiklikleri anlayabilmek ve kontrol edebilmek için, döndürülmüş sırlar değişimin zamanını kaydeder ve kimler erişebilir.
Statik sırlara ve kayıt verilerine alternatif olarak, GitHub eylemlerinin Pulumi ESC geliştirme ekiplerine entegrasyonunu, bu bilgileri iş akışlarınıza dinamik olarak eklemek ve döndürmek için izin verir. Herhangi bir ESC komandoları, örneğin bir CI/CD işleminin bir parçası olarak oluşturmak, güncellemek veya kapatmak için GitHub eylem iş akışlarında da gerçekleştirilebilir. Bunu yapmak için GitHub eylemi Pulumi ESC CLI'yi indirebilir ve ya tüm çevresel değişkenleri veya hatta bir ESC ortamından emin olabilir. Aşağıdaki listede, Pulumi bulutuna kayıttan ortam değişkenlerinin eklenmesine kadar GitHub'da basit bir iş akışının nasıl oluşturulabileceğine dair bir örnek göstermektedir:
on:
- pull_request
permissions:
id-token: write
contents: read
jobs:
test-env-injection:
runs-on: ubuntu-latest
steps:
- name: Check out repository
uses: actions/checkout@v4
- name: Authenticate with Pulumi Cloud
uses: pulumi/auth-actions@v1
with:
organization: pulumi
requested-token-type: urn
ulumi:token-type:access_tokenrganization
- name: Install and inject ESC environment variables
uses: pulumi/esc-action@v1
with:
environment: 'tinyco/someProject/myEnv@stable'
- name: Verify environment variables
run: |
echo "FOO=$FOO"
echo "SOME_IMPORTANT_KEY=$SOME_IMPORTANT_KEY"
echo "TEST_ENV=$TEST_ENV"
Tüm pulumi bulutu için rol tabanlı erişim kontrolü
Bir kuruluş içinde daha iyi yönetebilmeyi başarabilmek için, kaynaklara erişebilen ve bunları değiştirebilenler, Pulumi rol tabanlı erişim kontrolü (RBAC) için bir sistem sunar. Sistem, Pulumi bulutundaki tüm ürünlerde eşit olarak çalışmalı ve IAC yığınları, ESC ortamları ve içgörü hesapları gibi kaynaklara erişimi düzenlemelidir. Bu nedenle kullanıcılar, kullanıcı ve ekip seviyesine erişim için belirli izinleri ayrıntılı olarak yapılandırabilir. Roll tabanlı erişim sahte, otomatik işlemlerin yalnızca gerekli yetkilere sahip olduğu kontrol edilebilir.
Dönmüş sırların yeni işlevleri, GitHub eylemlerinin entegrasyonu ve Pulumi anlayışlarındaki politika-kod becerilerinin genişlemesi zaten tam olarak mevcuttur. Açıklanan RBAC sistemi için, belirli başlangıç tarihi kısa süre içinde takip edilmelidir.
(harita)
Otomatik Sırlar Dönüşü ve Entegre Github İş Akışları
Pulumi ESC'de (Çevre, Sırlar ve Yapılandırma Yönetimi), kullanıcılar artık statik giriş verileri için sırları otomatik olarak döndürebilir. Amaç, dinamik giriş verilerine geçmeyen ortamlarda bile güvenliği artırabilmek ve uyumluluk gereksinimlerini daha iyi karşılamaktır. Dönen Sırlar işlevi, gerekirse değişikliği başlatmanıza veya bir rotasyon planı yoluyla kontrol etmenizi sağlar. İki saniyelik bir stratejiyi takip eder, böylece her iki giriş bilgisi de geçiş aşamasında mevcuttur. Tüm değişiklikleri anlayabilmek ve kontrol edebilmek için, döndürülmüş sırlar değişimin zamanını kaydeder ve kimler erişebilir.
Statik sırlara ve kayıt verilerine alternatif olarak, GitHub eylemlerinin Pulumi ESC geliştirme ekiplerine entegrasyonunu, bu bilgileri iş akışlarınıza dinamik olarak eklemek ve döndürmek için izin verir. Herhangi bir ESC komandoları, örneğin bir CI/CD işleminin bir parçası olarak oluşturmak, güncellemek veya kapatmak için GitHub eylem iş akışlarında da gerçekleştirilebilir. Bunu yapmak için GitHub eylemi Pulumi ESC CLI'yi indirebilir ve ya tüm çevresel değişkenleri veya hatta bir ESC ortamından emin olabilir. Aşağıdaki listede, Pulumi bulutuna kayıttan ortam değişkenlerinin eklenmesine kadar GitHub'da basit bir iş akışının nasıl oluşturulabileceğine dair bir örnek göstermektedir:
on:
- pull_request
permissions:
id-token: write
contents: read
jobs:
test-env-injection:
runs-on: ubuntu-latest
steps:
- name: Check out repository
uses: actions/checkout@v4
- name: Authenticate with Pulumi Cloud
uses: pulumi/auth-actions@v1
with:
organization: pulumi
requested-token-type: urn
ulumi:token-type:access_tokenrganization- name: Install and inject ESC environment variables
uses: pulumi/esc-action@v1
with:
environment: 'tinyco/someProject/myEnv@stable'
- name: Verify environment variables
run: |
echo "FOO=$FOO"
echo "SOME_IMPORTANT_KEY=$SOME_IMPORTANT_KEY"
echo "TEST_ENV=$TEST_ENV"
Tüm pulumi bulutu için rol tabanlı erişim kontrolü
Bir kuruluş içinde daha iyi yönetebilmeyi başarabilmek için, kaynaklara erişebilen ve bunları değiştirebilenler, Pulumi rol tabanlı erişim kontrolü (RBAC) için bir sistem sunar. Sistem, Pulumi bulutundaki tüm ürünlerde eşit olarak çalışmalı ve IAC yığınları, ESC ortamları ve içgörü hesapları gibi kaynaklara erişimi düzenlemelidir. Bu nedenle kullanıcılar, kullanıcı ve ekip seviyesine erişim için belirli izinleri ayrıntılı olarak yapılandırabilir. Roll tabanlı erişim sahte, otomatik işlemlerin yalnızca gerekli yetkilere sahip olduğu kontrol edilebilir.
Dönmüş sırların yeni işlevleri, GitHub eylemlerinin entegrasyonu ve Pulumi anlayışlarındaki politika-kod becerilerinin genişlemesi zaten tam olarak mevcuttur. Açıklanan RBAC sistemi için, belirli başlangıç tarihi kısa süre içinde takip edilmelidir.
(harita)