簡體 English 中英

訪問秘密商店的服務

[英]services accessing a secret store

原文 2017-01-30 21:54:43 0 1 hashicorp-vault/ key-storage

我試圖理解人類，服務和秘密商店之間的互動。 我一直在尋找HashiCorp Vault文檔和教程，以嘗試更好地理解。 我使用的是Vault而不是下面那個更加繁瑣的“秘密商店”：

用例是服務需要訪問Vault以獲取密鑰（例如數據庫連接字符串）。 看起來配置具有訪問Vault的憑據的服務的人也會知道這些憑證並且可以隨時模擬該服務。

另一方面，如果Vault也是服務的身份提供者，它可以提供在服務初始化期間使用的一次性初始憑證。 然后，這些被旋轉出來。 此時，人類無法冒充他們在“正常操作”期間設置的服務。

但是，我沒有在文檔中讀過這個用例，所以我很困惑。

為了增加清晰度，我理解最終必須有人信任。 例如，操作工程師可以擁有自己的憑據來訪問Vault並獲取同一數據庫的密碼。 這將允許用戶訪問，但不允許該用戶模擬該服務。 有沒有理由說操作工程師在初始化后還應該知道服務自己的憑據來訪問Vault？

Vault支持為多個服務創建一次性使用憑證，主要是數據庫 - 請參閱文檔的“ 秘密后端”部分。

mysql后端包括以下描述：

此外，它還引入了一項新功能：每個服務都使用唯一的憑據訪問數據庫，當發現可疑的數據訪問時，它使審計變得更加容易：您可以根據SQL用戶名將其跟蹤到特定的服務實例。

[英]Secret management in Helm Charts

[英]Delete secret after lease time

[英]Single use secret in Hashicorp vault

[英]Loop through Vault secret

[英]fetching vault secret value using terraform

[英]Define Path for secret in Hashicorp not work with Quarkus

[英]Not key is attached while writing the secret to vault

[英]Secret management through vault in docker containers

[英]Login and get secret from hashicorp vault in nodejs

[英]How to get Vault secret through Terraform

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Helm Charts 中的秘密管理租期過后刪除機密 Hashicorp 保險庫中的一次性秘密循環通過 Vault 機密使用 terraform 獲取金庫秘密值在 Hashicorp 中定義秘密路徑不適用於 Quarkus 將密鑰寫入保管庫時未附加密鑰通過Docker容器中的保管庫進行秘密管理登錄並從 nodejs 中的 hashicorp 保險庫獲取機密如何通過 Terraform 獲取 Vault 機密

相關標簽