个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
28
4
我正在寻找更好的 secret 轮换解决方案,发现 Vault 动态 secret 是一个很好的解决方案。通过启用 secret 引擎,比如数据库,应用程序/服务可以租用动态 secret 。
我注意到每次应用程序租用数据库 secret 时,Vault 都会在数据库中创建一个新用户/帐户。我明白,每个应用程序/服务都需要成为一个好公民,并按照租用时间使用 secret 。然而,在微服务环境中,一个实现错误可能会导致服务请求过多的动态 secret ,从而触发在数据库中创建过多的帐户。
有什么办法可以防止创建太多帐户?我只是担心太多帐户可能会导致数据库出现问题。
最佳答案
您可以使用静态角色,这将创建一个具有固定用户名的角色,然后保管库将在需要轮换时轮换该密码。
这里有一些文档可以帮助您入门
https://www.vaultproject.io/api/secret/databases#create-static-role
https://www.vaultproject.io/docs/secrets/databases#static-roles
此外,来自网站的警告:
Not all database types support static roles at this time. Pleaseconsult the specific database documentation on the left navigation orthe table below under Database Capabilities to see if a given databasebackend supports static roles.`
关于hashicorp-vault - 如何防止在 HashiCorp Vault 中创建过多 secret ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/63957803/
28
4
0
是否可以列出存储在保险库后端的所有角色?我似乎找不到任何关于如何这样做的引用。 从文档中,似乎可以通过 auth/approle/role/my-role 列出给定角色名称的角色。 ,例如,但我没有看
我已经开始使用 Hashicorp 的 Vault 来管理 secret ,并且对 Vault 的日常密封有一些疑问。我的工作流程有两个身份验证后端;特定用户可以通过写入权限访问 Vault 以添加新
我们使用带有 Consul 的 Hashicorp Vault 作为存储,我们希望为 Vault 实现强大的备份和恢复策略。 我们特别希望在构建新的 Vault 服务器时备份所有 Vault 数据并使
我正在寻找更好的 secret 轮换解决方案,发现 Vault 动态 secret 是一个很好的解决方案。通过启用 secret 引擎,比如数据库,应用程序/服务可以租用动态 secret 。 我注意
我只是在尝试新的 Vault UI .我希望能够使用用户名和密码登录。如何从命令行创建新用户以便我可以使用用户名和密码登录? 最佳答案 像这样创建一个新用户: vault write auth/use
我们已经为一台服务器安装并配置了 Hashicorp Vault AppRole 身份验证,通过存储 role_id和 secret_id在服务器上的本地文件中,我们可以让服务器上的代码从文件中读取值
我不知道我是否做错了什么。 但这是我的配置。 // payload.json { "plugin_name": "postgresql-database-plugin", "allowed_r
我需要存储用户提供给我的非常敏感的 secret (用户名+密码+用于对第 3 方 API 进行身份验证的证书)。 我首先考虑的是 AWS Secrets Manager,它非常昂贵,恕我直言,主要用
我在 kubernetes 中以 pod 的形式运行 vault 和 consul,同时我正在检查 consul catalog service它显示 consul独自的。 如何注册 vault as
我正在尝试在 Vault 上进行登录/通过身份验证。 当我尝试 API 文档中给出的方法时:https://www.vaultproject.io/api/auth/userpass/index.ht
在 Vault Web UI 中的“访问”下,它显示了通过“租约 ID”查找租约的能力:If you know the id of a lease, enter it above to lookup
我设置了由领事集群支持的保管库。我使用 https 保护它,并尝试在单独的机器上使用 cli 来获取和设置 kv 引擎中的 secret 。我正在使用 CLI 和 Vault 服务器的 1.0.2 版
我能够从 json 文件将值写入 Vault: # cat secrets.json { "value": "bGktzwatc" } { "value": "AGktzwatB" } 在尝试通过读取
我正在关注 Vault 配置 示例引用自:https://spring.io/guides/gs/vault-config/ .我已经使用 Windows 机器启动了服务器。 vault server
我将一个 Base64 编码的信任库文件注入(inject)到我的容器中,然后使用“agent-inject-command”注释尝试解码 key 并将其写入文件。这是我的 k8s list 的片段:
我正在尝试创建一个策略,允许用户根据他们的用户名访问部分 secret 层次结构。我不想为每个用户制定不同的策略,而是希望有一个模板化策略。我认为这应该可行,但我不断收到权限被拒绝的错误。如果我删除模
我不知道如何在hashicorp保管库中存储文件。 PoC的用例是将SSL证书存储在某个路径中,然后通过HTTP API下载它。 我尝试使用似乎最合适的kv secrets引擎。 最佳答案 因此,Va
我尝试设置 hashicorp consul (作为 Windows 服务)将数据记录到文件中。文档说要在配置文件中设置 log_level 但没有说明日志文件在 Windows 计算机上的最终位置?
我尝试设置 hashicorp consul (作为 Windows 服务)将数据记录到文件中。文档说要在配置文件中设置 log_level 但没有说明日志文件在 Windows 计算机上的最终位置?
我想在 Vault 中创建一个新实体并生成一个新 token ,以使用 API 为用户提供对 UI 的访问权限。 因此,我使用/v1/identity/entity/name/:name 生成实体,然
我是一名优秀的程序员,十分优秀!