Vault:修订间差异

来自Gea-Suan Lin's Wiki
跳到导航 跳到搜索
此页面具有访问限制。如果您看见此消息,则说明您没有权限访问此页面。
第11行: 第11行:
== AppRole<ref>{{Cite web |url=https://learn.hashicorp.com/vault/identity-access-management/approle |title=AppRole Pull Authentication |language=en |accessdate=2020-07-29}}</ref> ==
== AppRole<ref>{{Cite web |url=https://learn.hashicorp.com/vault/identity-access-management/approle |title=AppRole Pull Authentication |language=en |accessdate=2020-07-29}}</ref> ==


 以下的指令可以透過Vault的CLI操作 會需要設定對應的Endpoint
 以下的指令可以透過Vault的CLI操作 會需要設定對應的Endpoint 與token


=== 啟用 ===
=== 啟用 ===

2021年6月30日 (三) 07:42的版本

Vault是一套由HashiCorp开发的密码管理软件。

概要

Vault可以拿来存放各类credential资料,像是Key或是Password,这个方法比Twelve-Factor App methodology所提到的方法(利用环境变数)安全许多。

安装

主条目:Vault/Install

AppRole[1]

以下的指令可以透过Vault的CLI操作,会需要设定对应的Endpoint与token。

启用

先启用AppRole: 

vault auth enable approle

TTL设定

你可能会想要改掉预设的TTL,目前的预设是30天(768h),这边设定为100年: 

vault read sys/auth/approle/tune
vault write sys/auth/approle/tune max_lease_ttl=876000h
vault write sys/auth/approle/tune default_lease_ttl=876000h
vault read sys/auth/approle/tune

建立

先产生AppRole: 

vault write auth/approle/role/example_role token_policies="example_policy1,example_policy2"

如果还在测试而没有HTTPS的情况下,可以加上-address=http://127.0.0.1:8200/(或是对应的位置): 

vault write -address=http://127.0.0.1:8200/ auth/approle/role/example_role token_policies="example_policy1,example_policy2"

接下来是读取role-id

vault read auth/approle/role/example_role/role-id

产生对应的secret-id

vault write -f auth/approle/role/example_role/secret-id

其中的secret_id就是我们要的,而secret_id_accessor则可以拿来renew用(但比较少用到)。

使用

这边使用HTTPie产生JSON request: 

http https://vault.example.com/v1/auth/approle/login role_id=x secret_id=y

回传的client_token就可以拿来使用。

相关连结

参考文献

  1. AppRole Pull Authentication. [2020-07-29] (English). 

外部链接

取自“https://wiki.gslin.org/index.php?title=Vault&oldid=3084