热门基础设施即程序代码工具创业公司Pulumi,推出可用来管理所有云计算基础设施、应用程序环境机密与配置的工具Pulumi ESC。Pulumi ESC采用配置即程序代码(Configuration as Code)策略,让用户能够通过编写程序代码,管理机密与配置的阶乘结构。此外,Pulumi ESC不仅可以作为独立工具,也可以与Pulumi IaC搭配运用,进一步强化配置管理的灵活性。

在管理一组复杂且紧密关联的环境配置与机密时,用户通常会遇到各种难题。首先,机密和配置可能散落在不同的系统中,造成机密扩散的问题,这不只增加管理复杂性,也使审核变得困难。第二则是机密常与特定应用和系统存储绑定,因此用户需要在多个地方重复复制粘贴机密。最后是用户通常会过度依赖长期静态凭证,这不仅不利于机密管理和更新,更可能使企业面临重大安全风险。

而Pulumi ESC提供一套综合解决方案,针对当前基础设施、应用环境中的机密和配置管理,所普遍存在的问题而设计。官方提到,虽然市场上有许多机密管理工具,但是往往无法解决实际配置的复杂性,而Pulumi ESC在机密和配置之间,提供一套统一的工具和流程简化管理任务。

Pulumi ESC一系列核心功能,供用户更有效率且安全地管理机密和配置。官方提到,通过Pulumi ESC CLI,用户只需要使用一个指令,即可立刻经过身份验证,短期访问任何云计算供应商的云计算凭证。

拥有灵活设计的Pulumi ESC,不仅让用户可以在环境中集成机密和配置,还能进一步导入其他环境设置,这样的设计供用户能够依照需求,覆盖原有的设置值,或是动态插入、组合和替换其他变量值,在获得组合弹性的同时,也能在多重设置中重复使用资讯,减少不要的重复工作。

Pulumi ESC强大的集成能力,能够与不同供应商的机密管理工具配合使用,包括AWS Secrets Manager、Vault、Azure OIDC和1Password,提供了企业一个统一且一致的机密和配置管理接口。借由使用ESC CLI和Rest API,用户便可以从各处取得配置和机密资讯。Pulumi ESC更支持与Pulumi IaC、本地环境、.env文件和GitHub Actions等多种工具的集成,进一步提升适用性和便利度。

Pulumi ESC还具有高度可审核性,所有环境操作都被详细记录下来,确保修户能够关注每个值的来源和变动。此外,Pulumi ESC融合身份验证和基于角色的访问控制(RBAC)功能,确保组织内部数据的访问安全。

由于Pulumi ESC采用配置即程序代码的方式,使得用户可以将环境定义为YAML文件,直观地描述组合机密和配置,集成动态配置供应商,从其他值计算新配置,像是用户可以从DNS名称直接生成URL,或是整合多个配置值。相较于点击式接口,配置即程序代码方法提供极佳的灵活性,能以丰富的表达方式简单管理复杂配置。

目前官方先以全托管服务的形式,推出Pulumi ESC公开预览版,并承诺之后还会推出自托管版本。官方仍继续发展Pulumi ESC,陆续还会推出应用程序层级的SDK,并让配置能够与外部系统同步,甚至是对环境进行版本控制等功能。