Links

访问令牌

对应的官方文档地址
访问令牌是促进服务账户访问和解密存储在 Secrets Manager 中的机密的对象。访问令牌颁发给特定的服务账户,并将赋予应用它们的任何机器仅能访问与该服务账户相关联的机密的能力。

创建访问令牌

访问令牌永远不会存储在 Bitwarden 数据库中并且无法检索,因此在生成访问令牌时请注意将其存储在安全的地方。要创建访问令牌:
1、从导航中选择服务账户
2、选择要为其创建访问令牌的服务账户,然后打开访问令牌选项卡:
创建访问令牌
3、选择新增访问令牌按钮。
4、在「新增访问令牌」窗口中,提供以下信息:
  • 令牌的名称
  • 令牌的权限级别。在 Beta 期间,只有 读取 访问权限可用。
  • 令牌的到期时间。默认为 从不
5、完成令牌配置后,选择新增访问令牌按钮。
6、将出现一个显示访问令牌的窗口。关闭此窗口之前请将您的令牌复制到安全的地方,因为您的令牌不会被存储并且以后无法获取
访问令牌示例
此访问令牌是身份验证工具,通过它您可以编写机密注入脚本到您的机器和应用程序中。

使用访问令牌

访问令牌用于 Secrets Manager CLI 的身份验证。您创建了访问令牌并将其值保存在安全的地方后,就可以通过 CLI 来使用它验证机密检索命令,以注入您的应用程序或基础设施。它可以:
  • 将访问令牌导出到主机上的 BWS_ACCESS_TOKEN 环境变量。如下所示的 CLI 命令将自动检查具有该密钥的变量以进行身份​​验证:
    bws get secret fc3a93f4-2a16-445b-b0c4-aeaf0102f0ffText C
  • 在脚本中使用 -access-token 选项 get 和注入机密,例如包含以下行的内容:
    ...
    export DB_PW=$(bws get secret fc3a93f4-2a16-445b-b0c4-aeaf0102f0ff --access-token 0.48c78342-1635-48a6-accd-afbe01336365.C0tMmQqHnAp1h0gL8bngprlPOYutt0:B3h5D+YgLvFiQhWkIq6Bow== | .jq '.value')
    ...
    docker run -d database ... -env DB_PW=$DB_PW ... mysql:latest
  • 使用我们专用的 GitHub Actions 集成将访问令牌保存为存储库机密,以便在您的工作流文件中使用。

吊销访问令牌

您可以随时吊销访问令牌。吊销令牌将破坏当前使用它的任何机器检索和解密机密的能力。要吊销令牌:
1、从导航中选择服务账户,然后打开访问令牌选项卡。
2、对于要撤销的访问令牌,使用 () 选项菜单选择吊销访问令牌
吊销访问令牌