将 Secret 存储为云构建环境变量
Storing Secrets as cloud build environment variables
在 Cloud Build 上构建期间使用机密的推荐方法是从 Secret Manager 加载它们。在构建触发器上将它们保存为环境变量会有什么危险?
任何拥有项目查看者或更高权限的人都可以看到它们。任何可以调用您的构建的人都可以轻松地将它们打印在构建日志中。当秘密被访问或由谁访问时,没有审计或记录。
在 Cloud Build 上构建期间使用机密的推荐方法是从 Secret Manager 加载它们。在构建触发器上将它们保存为环境变量会有什么危险?
任何拥有项目查看者或更高权限的人都可以看到它们。任何可以调用您的构建的人都可以轻松地将它们打印在构建日志中。当秘密被访问或由谁访问时,没有审计或记录。