解开 PowerShell 的秘密

因此，我一直在尝试使用 Microsoft 的 Secrets Management 模块做更多事情，现在它们已经不再是预发布状态了。您可以从 PowerShell 库安装 Microsoft.PowerShell.SecretStore 和 Microsoft.PowerShell.SecretManagement 模块，您将需要这两个模块。您可以找到基于 Microsoft 模块构建的扩展模块，用于与其他密钥保管库或秘密存储配合使用。运行 find-module -tag Secretmanagement 来查找其他模块。但我今天要讲的是微软的模块。尽管如此，它可能适用于您的任何扩展模块。挑战在于将机密管理模块与 PowerShell 配置文件脚本结合使用。

定义变量

在我的 PowerShell 配置文件脚本中，我调用了一个定义多个变量的脚本。这些是我全天使用的项目，通常与 PSDefaultParameterValues 结合使用。 API 密钥和保存的令牌之类的东西。我曾经将这些值存储在脚本文件中，但决定使用 Microsoft 机密管理模块将这些项目移动到机密存储中。我修改了脚本以通过从商店获取值来设置变量。

$foo = Get-Secret -name foo -vault Secrets -AsPlainText

当启动新的 PowerShell 会话时，这有效。在一定程度上。我将启动 PowerShell，然后系统会提示输入保管库密码。这并不是一个很大的负担，但有影响。

安排工作

在我的桌面上，还有其他可以启动 PowerShell 的东西。具体来说，诸如 ScheduledJobs 之类的项目。默认情况下，当您设置计划作业时，该作业会启动一个新的 PowerShell 会话，该会话将运行您的配置文件脚本。但现在有一个问题。当计划作业运行时，配置文件脚本将提示输入密码。但这不是交互式发生的，所以我无法提供它。

我可以修改计划的作业以不加载配置文件。但这是很多额外的工作。也许我的一些预定工作需要该个人资料。我需要以编程方式解锁秘密存储，以便我可以定义我的变量。这也是您在尝试将秘密管理集成到任何类型的自动化流程中时面临的挑战。

分开密码

首先，我要指出的是，我的方法不是唯一的解决方案，甚至不是最好的解决方案。每当您处理秘密或敏感信息时，总会存在风险、挑战和权衡。在我的情况下，解决方案是将保管库密码与保管库分开。我的意思是，我需要另一种不需要任何交互的方式来获取密码。

我获取了保管库密码并使用 Protect-CMSMessage 将其存储在受保护的 CMS 消息中。该文档只能在具有必要的文档加密私钥的计算机上读取。我使用计算机名称作为文件名的一部分，将文件保存到文本文件中。

$vPass = "C:\scripts$($env:computername)-vault.txt"
$myVault = "Secrets"

解开秘密

在我的配置文件脚本中，我可以取消保护密码，将其转换回安全字符串并使用它来解锁保管库。

$q = Unprotect-CmsMessage -Path $vPass | ConvertTo-SecureString -AsPlainText -Force
Unlock-SecretStore -Password $q -PasswordTimeout 28800

我在家工作，没有太多的安全顾虑，所以我也将密码超时时间设置为8小时，这样如果我当天晚些时候需要访问保险库就不需要重新输入密码。一旦故障被解锁，我就可以使用 Get-Secret 来检索值并设置我的变量。因为我的秘密名称与我使用的变量相同，所以我可以循环遍历列表。这是完整的代码片段。

$vPass = "C:\scripts$($env:computername)-vault.txt"
$myVault = "Secrets"

if (Test-Path $vPass) {
    $q = Unprotect-CmsMessage -Path $vPass | ConvertTo-SecureString -AsPlainText -Force
    Unlock-SecretStore -Password $q -PasswordTimeout 28800

    $vars = "foo", "bar", "secret", "secret2", "apikey",  "gitkey","bitlykey"

    foreach ($var in $vars) {
         Set-Variable -Name $var -Value (Get-Secret -Name $var -Vault $myVault -AsPlainText) -Scope global
    }
    #secure string variables
    $bitly = Get-Secret -Name bitly -Vault $myVault
    $artd = Get-Secret -Name company -Vault $myVault
}

该代码作为我的配置文件脚本的一部分运行。我还有一些秘密想保留为安全字符串。

概括

通过此解决方案，我可以将机密存储在机密管理库中，并在我的个人资料中使用它们。而且，该配置文件也可以与计划作业一起使用。您需要找到安全存储和检索保管库密码的最佳方法。

您可以通过访问模块的存储库来了解有关秘密管理模块的更多信息。