安全设置的密钥库
编辑安全设置的密钥库
编辑APM 服务器密钥库仅适用于 APM 服务器二进制安装方法。
配置 APM 服务器时,您可能需要指定敏感设置,例如密码。与其依赖文件系统权限来保护这些值,不如使用 APM 服务器密钥库安全地存储密钥值以用于配置设置。
将密钥及其密钥值添加到密钥库后,您可以在配置敏感设置时使用密钥代替密钥值。
引用密钥的语法与环境变量的语法相同。
${KEY}
其中 KEY 是密钥的名称。
例如,假设密钥库包含一个名为 ES_PWD 的密钥,其值为 yourelasticsearchpassword
- 在配置文件中,使用
output.elasticsearch.password: "${ES_PWD}" - 在命令行中,使用:
-E "output.elasticsearch.password=\${ES_PWD}"
APM 服务器解包配置时,会在解析环境变量和其他变量之前解析密钥。
请注意,APM 服务器密钥库与 Elasticsearch 密钥库不同。Elasticsearch 密钥库允许您按名称存储 elasticsearch.yml 值,而 APM 服务器密钥库允许您指定可在 APM 服务器配置中引用的任意名称。
要创建和管理密钥,请使用 keystore 命令。有关完整的命令语法(包括可选标志),请参阅 命令参考。
keystore 命令必须由将运行 APM 服务器的同一用户运行。
要创建密钥库,请使用
apm-server keystore create
APM 服务器在 path.data 配置设置定义的目录中创建密钥库。
要存储敏感值(例如 Elasticsearch 的身份验证凭据),请使用 keystore add 命令。
apm-server keystore add ES_PWD
系统提示时,输入密钥的值。
要覆盖现有密钥的值,请使用 --force 标志。
apm-server keystore add ES_PWD --force
要通过 stdin 传递值,请使用 --stdin 标志。您也可以使用 --force。
cat /file/containing/setting/value | apm-server keystore add ES_PWD --stdin --force
要列出密钥库中定义的密钥,请使用
apm-server keystore list
要从密钥库中删除密钥,请使用
apm-server keystore remove ES_PWD