SOPS: Secrets OPerationS

SOPS 是一个支持 YAML、JSON、ENV、INI 和 BINARY 格式的加密文件编辑器，可通过 AWS KMS、GCP KMS、Azure Key Vault、age 和 PGP 进行加密。
默认情况下，SOPS 使用每个主密钥对文件的数据密钥进行加密，因此只要任意一个主密钥可用，即可解密文件。但有时需要多个主密钥同时可用才能解密文件，这可以通过密钥组实现。
审计
有时用户希望了解在自己控制的环境中哪些人访问了哪些文件。为此，SOPS 可生成审计日志，记录对加密文件的操作。启用后，当文件被解密时，SOPS 会将日志条目写入预先配置的 PostgreSQL 数据库。
密钥服务
某些情况下，您可能需要在无法直接访问加密密钥（如 PGP 密钥）的机器上运行 SOPS。sops 密钥服务允许您转发一个套接字，使 SOPS 能够访问远程机器上存储的加密密钥。
安全
使用 SOPS 存储的数据安全性取决于最弱的加密机制。值采用 AES256_GCM 加密，这是目前最强的对称加密算法。数据密钥则通过 KMS 加密（同样使用 AES256_GCM），或通过 PGP 加密（使用 RSA 或 ECDSA 密钥）。