- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我们已经为一台服务器安装并配置了 Hashicorp Vault AppRole 身份验证,通过存储 role_id
和 secret_id
在服务器上的本地文件中,我们可以让服务器上的代码从文件中读取值,对 Vault 进行身份验证,接收 token ,然后从 Vault 读取它需要的 secret 。到现在为止还挺好。然而,secret_id
31 天后到期,因此该过程失败。
我已经阅读了使用 AppRoles 的概念,它们似乎非常适合我们的用例,但是对于这个过期。我们不想重新生成 secret_id
每个月。
根据我的阅读,如果您在没有设置的情况下创建角色 secret_id_ttl
它应该不会过期,但事实并非如此。这可能是由于 AppRole 身份验证方法的配置方式所致,但我没有看到任何可靠的内容。
所以我找到了一个 article on the Hashicorp website其中详细讨论了 AppRoles。这篇文章为在 CI/CD 环境中使 secret_id 过期提供了很好的论据,甚至通过 8 个简单的步骤说明了这是如何工作的。我明白这是如何工作的,但这篇文章没有提到 是如何工作的。 CI/CD 和 编排器 系统本身已通过 Vault 身份验证?或者我错过了什么?
最后,我想要secret_id
不过期。曾经。
最佳答案
如果没有来自您的环境的额外支持,您将不得不在安装程序中编写一些逻辑,并使用某种服务管理器来启动您的服务。在许多云环境中,您可能已经拥有等效实体(Terraform、Cloud Formation 等),您应该在需要时利用它们的 secret 管理功能。
对于自定义安装,这是我使用的工作流程。
关于hashicorp-vault - 如何在生产中使用 Hashicorp Vault 的 AppRole?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57592189/
是否可以列出存储在保险库后端的所有角色?我似乎找不到任何关于如何这样做的引用。 从文档中,似乎可以通过 auth/approle/role/my-role 列出给定角色名称的角色。 ,例如,但我没有看
我已经开始使用 Hashicorp 的 Vault 来管理 secret ,并且对 Vault 的日常密封有一些疑问。我的工作流程有两个身份验证后端;特定用户可以通过写入权限访问 Vault 以添加新
我们使用带有 Consul 的 Hashicorp Vault 作为存储,我们希望为 Vault 实现强大的备份和恢复策略。 我们特别希望在构建新的 Vault 服务器时备份所有 Vault 数据并使
我正在寻找更好的 secret 轮换解决方案,发现 Vault 动态 secret 是一个很好的解决方案。通过启用 secret 引擎,比如数据库,应用程序/服务可以租用动态 secret 。 我注意
我只是在尝试新的 Vault UI .我希望能够使用用户名和密码登录。如何从命令行创建新用户以便我可以使用用户名和密码登录? 最佳答案 像这样创建一个新用户: vault write auth/use
我们已经为一台服务器安装并配置了 Hashicorp Vault AppRole 身份验证,通过存储 role_id和 secret_id在服务器上的本地文件中,我们可以让服务器上的代码从文件中读取值
我不知道我是否做错了什么。 但这是我的配置。 // payload.json { "plugin_name": "postgresql-database-plugin", "allowed_r
我需要存储用户提供给我的非常敏感的 secret (用户名+密码+用于对第 3 方 API 进行身份验证的证书)。 我首先考虑的是 AWS Secrets Manager,它非常昂贵,恕我直言,主要用
我在 kubernetes 中以 pod 的形式运行 vault 和 consul,同时我正在检查 consul catalog service它显示 consul独自的。 如何注册 vault as
我正在尝试在 Vault 上进行登录/通过身份验证。 当我尝试 API 文档中给出的方法时:https://www.vaultproject.io/api/auth/userpass/index.ht
在 Vault Web UI 中的“访问”下,它显示了通过“租约 ID”查找租约的能力:If you know the id of a lease, enter it above to lookup
我设置了由领事集群支持的保管库。我使用 https 保护它,并尝试在单独的机器上使用 cli 来获取和设置 kv 引擎中的 secret 。我正在使用 CLI 和 Vault 服务器的 1.0.2 版
我能够从 json 文件将值写入 Vault: # cat secrets.json { "value": "bGktzwatc" } { "value": "AGktzwatB" } 在尝试通过读取
我正在关注 Vault 配置 示例引用自:https://spring.io/guides/gs/vault-config/ .我已经使用 Windows 机器启动了服务器。 vault server
我将一个 Base64 编码的信任库文件注入(inject)到我的容器中,然后使用“agent-inject-command”注释尝试解码 key 并将其写入文件。这是我的 k8s list 的片段:
我正在尝试创建一个策略,允许用户根据他们的用户名访问部分 secret 层次结构。我不想为每个用户制定不同的策略,而是希望有一个模板化策略。我认为这应该可行,但我不断收到权限被拒绝的错误。如果我删除模
我不知道如何在hashicorp保管库中存储文件。 PoC的用例是将SSL证书存储在某个路径中,然后通过HTTP API下载它。 我尝试使用似乎最合适的kv secrets引擎。 最佳答案 因此,Va
我尝试设置 hashicorp consul (作为 Windows 服务)将数据记录到文件中。文档说要在配置文件中设置 log_level 但没有说明日志文件在 Windows 计算机上的最终位置?
我尝试设置 hashicorp consul (作为 Windows 服务)将数据记录到文件中。文档说要在配置文件中设置 log_level 但没有说明日志文件在 Windows 计算机上的最终位置?
我想在 Vault 中创建一个新实体并生成一个新 token ,以使用 API 为用户提供对 UI 的访问权限。 因此,我使用/v1/identity/entity/name/:name 生成实体,然
我是一名优秀的程序员,十分优秀!