Vault:修订间差异
跳到导航
跳到搜索
此页面具有访问限制。如果您看见此消息,则说明您没有权限访问此页面。
(→TTL設定) |
|||
第21行: | 第21行: | ||
=== TTL設定 === | === TTL設定 === | ||
你可能會想要改掉預設的TTL,這邊設定為100年: | 你可能會想要改掉預設的TTL ,目前的預設是30天(768h) ,這邊設定為100年: | ||
<syntaxhighlight lang="bash"> | <syntaxhighlight lang="bash"> |
2021年6月30日 (三) 07:41的版本
Vault是一套由HashiCorp开发的密码管理软件。
概要
Vault可以拿来存放各类credential资料,像是Key或是Password,这个方法比Twelve-Factor App methodology所提到的方法(利用环境变数)安全许多。
安装
AppRole[1]
启用
先启用AppRole:
vault auth enable approle
TTL设定
你可能会想要改掉预设的TTL,目前的预设是30天(768h),这边设定为100年:
vault read sys/auth/approle/tune
vault write sys/auth/approle/tune max_lease_ttl=876000h
vault write sys/auth/approle/tune default_lease_ttl=876000h
vault read sys/auth/approle/tune
建立
先产生AppRole,这步可以透过Vault的Console操作(指令的前半段会有些差异),或是透过Vault的CLI操作(会需要设定对应的Endpoint):
vault write auth/approle/role/example_role token_policies="example_policy1,example_policy2"
如果还在测试而没有HTTPS的情况下,可以加上-address=http://127.0.0.1:8200/
(或是对应的位置):
vault write -address=http://127.0.0.1:8200/ auth/approle/role/example_role token_policies="example_policy1,example_policy2"
接下来是读取role-id
:
vault read auth/approle/role/example_role/role-id
产生对应的secret-id
:
vault write -f auth/approle/role/example_role/secret-id
其中的secret_id
就是我们要的,而secret_id_accessor
则可以拿来renew用(但比较少用到)。
使用
这边使用HTTPie产生JSON request:
http https://vault.example.com/v1/auth/approle/login role_id=x secret_id=y
回传的client_token
就可以拿来使用。
相关连结
参考文献
- ↑ AppRole Pull Authentication. [2020-07-29] (English).
外部链接
- 官方网站 (英文)