简而言之SPIFFE

我一直在研究SPIFEE(每个人的安全生产身份框架)[1],在这里,我正在按照我现在的理解起草流程,以使任何试图理解流程的人受益。

  • 身份注册表 – SPIRE服务器具有自己的身份注册表,该注册表保留两个粗粒度属性,这些属性决定如何将SPIFFE ID发布给工作负载。 它保留了下表中的详细信息。

特殊ID

节点选择器

Craft.io选择器

spiffe://abc.com/bill

aws:ec2:1234

k8s:命名空间:1234

spiffe://xyz.com/account

令牌:7236427472

UNIX:UID:1002

提供了单独的注册API来管理身份注册表中的这些条目。

  • 节点选择器 –定义可以在其上运行工作负载的计算机(物理或虚拟)。 根据运行工作负载的基础结构提供程序(AWS,GCP,裸机)确定要使用的选择器的确切类型。 例如。 AWS EC2实例ID,物理机的序列号。 节点证明者根据基础结构提供者采取行动以兑现那里的选择器。
  • 工作负载选择器 –这定义了在识别节点之后如何识别代表工作负载的流程。 这可以用进程本身的属性(例如Linux UID)或间接属性(例如kubernetes名称空间)来描述。 节点代理负责验证计算机上的特定进程是否符合其工作负载选择器的条件。 工作负载证明者基于流程属性来执行流程选择器。
  • SPIRE节点代理 –位于节点上的进程,用于验证节点上运行的工作负载的来源,并根据选择器通过Workload API为这些工作负载提供证书。
特殊规格
  1. 管理员或第三方应用程序调用注册API,以使用所需的SPIFFE ID和相关的选择器填充身份注册表。
  2. 节点代理使用预先建立的加密密钥对或基于基础结构提供程序通过SPIRE服务器进行身份验证。 例如,对于AWS EC2,节点代理将提交由AWS发布的节点的实例标识文档(IID)。
  3. SPIRE服务器中的节点证明者根据使用的机制来验证提供的标识文档。 如果使用AWS IID,则相关证明者将使用AWS设置对其进行验证。 验证成功后,SPIRE服务器会发送回一组SPIFFE ID,这些ID可以连同其进程选择器策略一起发布给节点。
  4. 当工作负载开始在节点中运行时,它首先致电节点代理,询问“我是谁?”。
  5. 基于上一步中接收到的进程选择器节点代理,并使用工作量证明者,代理决定要赋予工作量的SPIFFE ID。 它基于此生成密钥对,并将CSR(证书签名请求)发送到SPIRE服务器。
  6. SPIRE服务器使用工作负载的签名SVID以及信任包响应节点代理,指示该工作负载可以信任其他哪些负载。
  7. 收到来自SPIRE服务器的响应后,节点代理将接收到的SVID移交给信任,将生成的私钥捆绑到工作负载中。 此私钥永远不会离开其工作负载所属的节点。

如果您发现任何问题,请随时提出任何更正建议。

[1] – https://spiffe.io [2] – https://docs.google.com/document/d/1RZnBfj8I5xs8Yi_BPEKBRp0K3UnIJYTDg_31rfTt4j8/edit#

翻译自: https://www.javacodegeeks.com/2019/01/spiffe-nutshell.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/344012.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

c++ 多个字符串排序_Python小白干货宝典:sorted()函数:列表元素排序

定义:sorted() 函数对所有可迭代的对象进行排序操作。内建函数 sorted 方法返回的是一个新的 list,而不是在原来的基础上进行的操作。语法:sorted 语法:sorted(iterable, cmpNone, keyNone, reverseFalse)返回值:返回重…

工业级以太网交换机的使用情况分析

工业级以太网交换机是专门为满足灵活多变的工业应用需求而设计,提供一种高性价比工业以太网通讯解决方案。工业以太网交换机,作为我们广为使用的局域网硬件设备,一直为大家所熟悉。它的普及程度其实是由于以太网的广泛使用,作为今…

工业级以太网交换机产品特征及应用案例介绍

工业以太网交换机(简称工业交换机)是专门为满足灵活多变的工业应用需求而提供的一种高性价比的组网设备。针对工业控制的实际需求,工业交换机解决了通信实时性、网络可用性能和安全性等技术问题。与普通商业交换机相比,工业交换机…

mysql 热块_MySQL分布式集群之MyCAT(三)rule的分析【转】

首先写在最前面,MyCAT1.4的alpha版本已经发布了,这里面修复了不少的bug,也完善了一细节,之前两篇博客已经做了一些修改---------------------------------------------------------------------------------这才是本体~----------…

工业交换机的四种安装方式图解

工业交换机的作用可以说是非常强大的,其应用十分广泛,在电力、轨道交通、市政、煤矿安全、工厂自动化、水处理系统、城市安防等都有它的身影,为现代生活智能化的发展提供了非常大的助力。但是由于使用环境的原因,在安装工业交换机…

rpm mysql 更改目录_rpm形式安装的MySQL服务 并 修改数据文件目录( red hat)_mysql...

rpm方式安装的mysql服务 并 修改数据文件目录( red hat)卸载mysql1、查找以前是否装有mysql命令:rpm -qa|grep -i mysql可以看到mysql的两个包:mysql-*..*.RHEL**mysqlclient*.RHEL**2、删除mysql删除命令:rpm -e --nodeps 包名( rpm -ev mys…

python参数化建模 书_Python 中如何实现参数化测试?

之前,我曾转过一个单元测试框架系列的文章,里面介绍了 unittest、nose/nose2 与 pytest 这三个最受人欢迎的 Python 测试框架。本文想针对测试中一种很常见的测试场景,即参数化测试,继续聊聊关于测试的话题,并尝试将这…

反模式设计_设计模式:模式或反模式,这就是问题

反模式设计我最近遇到了Wiki页面“ Anti-pattern” ,其中包含详尽的反模式列表。 其中一些对我来说很明显。 他们中的一些让我想了一下,其他的让我想了更多。 然后,我开始在页面上查找反模式“ singleton”,但找不到。 &#xff0…

js中的数据类型分为两大类分别是什么_数据类型有这么重要吗?

一个没有得到重视的知识点, 数据类型 每种语言都有自己的数据类型,下面以javascript为例 类型的分类 js的数据类型可以分为 两大类: 1,值类型 (String,Number,undefined,Boolean,null) 2,引入类型(Object,Function,Array) 个人理解也可以把值类型和引入类型分为简单类型和复杂类…

监控系统几种常见的光端机传输方案拓扑图

近几年随着模拟摄像机被网络摄像机以及高清同轴摄像机取代,在光纤传输层,之前使用量比较大的视频光端机也逐渐被光纤收发器、POE交换机、网络交换机等网络光通信设备取代掉。目前市场上音频、数据、开关量、电话、对讲等信号依然可以通过光端机来进行传输…

在等待Jakarta EE时

自甲骨文在JavaOne 2017宣布将Java™EE转移到Eclipse Foundation以来已有一年多了。此后发生了很多事情: Java™EE 8 API和实现项目已在EE4J下建立 。 Eclipse GlassFish 5.1 版本即将发布 。 全新的Jakarta EE规范流程指日可待。 社区显示出有关Jakarta EE技术…

工业交换机外壳选用时有什么要求?

我们一般在选择工业交换机时,更多的是关注工业交换机的温度范围、EMC电磁兼容性、安装方式和电源等,而对于工业交换机的外壳关注比较少,除了一些客户需要防水要求的。接下来就由飞畅科技的小编来为大家介绍一下工业交换机外壳选用有什么要求?…

工业交换机与光纤收发器的区别

工业交换机与光纤收发器效果有什么差异工业交换机与光纤收发器不同的是,光纤收发器其实是点对点的工业工业交换机,光纤收发器只是一种光电转化设备,仅仅只是用于因传输间隔过远而采取的一种延长传输间隔的一种手法;而工业交换机是…

使用React Native和Spring Boot构建一个移动应用

“我喜欢编写身份验证和授权代码。” 〜从来没有Java开发人员。 厌倦了一次又一次地建立相同的登录屏幕? 尝试使用Okta API进行托管身份验证,授权和多因素身份验证。 React Native是使用React构建移动应用程序的框架。 React允许您使用声明式编程风格来…

交换机的特点及工作原理

交换机有多个端口,每个端口都具有桥接功能,可以连接一个局域网或一台高性能服务器或工作站,实际上,交换机有时被称为多端口网桥。那么,对于交换机的特点以及工作原理这块你是否有了解呢?接下来我们就来为大…

Spark UI的见解

作为延续解剖的-Apache的火花的工作后,我将分享如何利用星火UI调谐工作。 我将继续使用先前文章中使用的相同示例,新的spark应用程序将在以下方面完成工作 –阅读纽约市停车票 –通过“板ID”进行汇总并计算违规日期 –保存结果 此代码的DAG看起来像…

光纤收发器的6个指示灯说明

我们常用的光纤收发器都有6个指示灯,那么每个指示灯都代表什么含义呢?是否所有指示灯都亮起才代表光纤收发器正常工作呢?接下来飞畅科技的小编就来为大家详细说明一下,一起来看看吧! 光纤收发器的指示灯说明&#xff…

如何通过光纤收发器指示灯来判断收发器的故障

我们常用的光纤收发器都有6个LED指示灯,它们显示了收发器的工作状态,根据LED所示,就能判断出收发器是否工作正常和可能有什么问题,从而能帮助找出故障。那么,光纤收发器的每个指示灯都有什么含义呢?是否所有…

单纤光纤收发器a与b怎么放?如何使用光纤收发器的AB端?

光纤收发器的ab端是发射端(a端)和接收端(b端),单纤收发器两端分别是A端与B端,这两端的波长不同,发射端的波长比接收端的波长短,而双纤收发器其实是不分AB端的,因为它两端…

您的API是什么情况?

免责声明:在纯REST中,API是不透明的,URL应该是在对先前请求的响应中作为链接发送的内容。 但是,我不是在讲纯REST,而是在讲更实用的API,其中涉及REST的一些概念以及通用的API最佳实践。 编写API时&#xf…