chatwork/sops

sops Docker镜像

镜像概述和主要用途

本镜像基于Mozilla sops（https://github.com/mozilla/sops%EF%BC%89%E6%9E%84%E5%BB%BA%EF%BC%8Csops%E6%98%AF%E4%B8%80%E6%AC%BE%E7%94%A8%E4%BA%8E%E5%8A%A0%E5%AF%86/%E8%A7%A3%E5%AF%86%E9%85%8D%E7%BD%AE%E6%96%87%E4%BB%B6%E3%80%81%E5%AF%86%E9%92%A5%E7%AD%89%E6%95%8F%E6%84%9F%E4%BF%A1%E6%81%AF%E7%9A%84%E5%B7%A5%E5%85%B7%E3%80%82%E8%AF%A5Docker%E9%95%9C%E5%83%8F%E6%8F%90%E4%BE%9B%E5%AE%B9%E5%99%A8%E5%8C%96%E8%BF%90%E8%A1%8C%E7%8E%AF%E5%A2%83%EF%BC%8C%E6%94%AF%E6%8C%81%E7%94%A8%E6%88%B7%E5%9C%A8%E4%B8%8D%E7%9B%B4%E6%8E%A5%E5%AE%89%E8%A3%85sops%E7%9A%84%E6%83%85%E5%86%B5%E4%B8%8B%EF%BC%8C%E9%80%9A%E8%BF%87%E5%AE%B9%E5%99%A8%E4%BE%BF%E6%8D%B7%E5%9C%B0%E6%89%A7%E8%A1%8C%E6%96%87%E4%BB%B6%E5%8A%A0%E5%AF%86%E5%92%8C%E8%A7%A3%E5%AF%86%E6%93%8D%E4%BD%9C%E3%80%82

核心功能和特性

• 支持敏感文件的加密（encrypt）与解密（decrypt）操作
• 集成AWS KMS等密钥管理服务（通过环境变量配置认证信息）
• 支持挂载本地目录至容器，实现宿主机文件的直接读写
• 通过环境变量（如AWS_PROFILE）灵活配置服务认证参数

使用场景和适用范围

适用于开发、运维场景中对敏感配置文件（如应用密钥、数据库凭证、API密钥等）的安全管理需求。尤其适合在容器化环境中快速使用sops工具对敏感文件进行加密保护或解密使用。

使用方法和配置说明

前提条件

• 已安装Docker环境
• 若使用AWS KMS，需准备AWS凭证（通常位于~/.aws目录）并配置对应的AWS_PROFILE

加密文件

对指定文件进行加密，生成加密后的文件。

bash
# 进入工作目录
cd ${WORKING_DIR}

# 执行加密命令
docker run -v $HOME/.aws:/root/.aws -v $PWD:/sops -w /sops -e AWS_PROFILE=XXXX chatwork/sops -e secrets.dec.yaml

参数说明：

• -v $HOME/.aws:/root/.aws：挂载本地AWS凭证目录至容器，用于KMS认证
• -v $PWD:/sops：挂载当前工作目录至容器内/sops目录，使容器可访问待加密文件
• -w /sops：设置容器工作目录为/sops
• -e AWS_PROFILE=XXXX：设置环境变量，指定AWS认证配置文件
• -e secrets.dec.yaml：sops加密命令，对secrets.dec.yaml文件加密，默认生成加密文件secrets.enc.yaml

解密文件

对加密后的文件进行解密，恢复为原始文件。

bash
# 进入工作目录
cd ${WORKING_DIR}

# 执行解密命令
docker run -v $HOME/.aws:/root/.aws -v $PWD:/sops -w /sops -e AWS_PROFILE=XXXX chatwork/sops -d secrets.enc.yaml

参数说明：

• 与加密命令参数类似，区别在于sops命令使用-d（解密）选项，对secrets.enc.yaml文件解密，默认生成原始文件secrets.dec.yaml