Vault AppRole最佳实现过程

最新推荐文章于 2024-04-18 12:23:37 发布
最新推荐文章于 2024-04-18 12:23:37 发布
阅读量279 收藏
点赞数 1
分类专栏: Vault 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WEARE001/article/details/131531634
版权

AppRole

AppRole身份验证方法允许机器或应用程序使用 Vault 定义的角色进行身份验证。AppRole 的开放式设计支持使用不同的工作流和配置来应对大量应用程序。这种身份验证方法主要是面向自动化工作流程(机器和服务)设计的,对人类操作者不太有用。

“AppRole”代表一组 Vault 策略和登录约束,必须满足这些策略才能使用这些策略获取令牌。范围可以根据需要进行调整。可以为特定机器、甚至该机器上的特定用户或跨机器的服务创建 AppRole。成功登录所需的凭据取决于相关联的 AppRole 所设置的约束。

以下是基于封包机制,提供了几乎完美的过程保护机制。

图中第6、7、8、9是保护过程安全的核心设计(封包机制:Cubbyhole Response Wrapping,通过一个极短生命周期的凭证来尽可能减少过程暴露的风险)q qun 830709780。

AppRole

  • AppRole的管理只能通过cli或api操作,UI页面未提供功能。

  • 创建approle的参数
    • 如果您的 approle 签发的令牌需要能够创建子令牌,您需要将token_num_uses设置为0。
  • SecretID的维护机制

操作流程

1. 创建Approle认证挂载点

vault auth enable approle
# 查看挂载点
vault auth list

2. 创建一个基于approle认证方式的role——app-role

vault write auth/approle/role/app-role
# 列举角色
vault list auth/approle/role
# 查看角色app-role
vault read auth/approle/role/app-role

3. 查看app-role的role-id

vault read auth/approle/role/app-role/role-id

4. 将secret-id通过wrap封装,生成一个wrapping_token

# wrapping_token生命周期为60秒
vault write -f -wrap-ttl=60s auth/approle/role/app-role/secret-id

5. 将上一步生成的wrapping_token通过unwrap解封,拿到真正的secret-id

vault unwrap hvs.CAESIGjCf15OmzBiRgQGDKVJluJO8sUxwdQlxpCJz5hHpgqwGh4KHGh2cy5tVkEzbXVPekVubHBNcnZCUVdCRU16Z3U
# 生产环境整个过程中真实secret-id都不会被暴露出来!

python实践

通过wrap封装secret-id

# filename:approle.py
import hvac

client = hvac.Client(url='https://xxxx',token='hvsXXXX', verify=False)

def secret_id():
    client.write(path='auth/approle/role/test')
    response = client.write(path='auth/approle/role/test/secret-id',wrap_ttl='10s')
    unwrapped_token = client.sys.unwrap(response['wrap_info']['token'])
    return unwrapped_token['data']['secret_id']

应用获取secret-id,读取机密信息

import hvac
import approle # 获取secret-id模块

# 初始化Vault客户端
client = hvac.Client(url='https://xxxx', verify=False)

# 定义AppRole相关信息
role_id = '0bf98057-039c-5aa7-8b72-18131d5f325d'
secret_id = approle.secret_id()

client.auth.approle.login(
    role_id=role_id,
    secret_id=secret_id
)

secret_version_response = client.secrets.kv.v2.read_secret_version(mount_point='secret', path='kv/a2')

print(secret_version_response['data']['data'])
# {'email': 'example@qq.cn', 'password': 'acd', 'username': 'test'}

相关链接:

流浪法师12
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring-vault 入门 demo
asfasfasgjkl的博客
08-29 608
spring整合vault入门demo
Vault的程序侧接入方式-AppRole
咖啡男孩之SRE之路
12-31 1404
程序侧的接入对于Vault来说也是一种Accessor的接入,而AppRole绝对不是Vault首推的程序侧接入方式,但它是最方便的接入方式。
【译】Vault 学习资源:1.0, 自动解印, 代理, Kubernetes
weixin_34037173的博客
01-08 156
2018年12月20日 HYAKUNA YKO我们很高兴地宣布更多的动手指南, 以帮助您学习和集成 vault 作为您的机密管理解决方案。一些预先存在的指南也已更新。新指南:使用 GCP 云 KMS 自动解印带有 AWS 的 Vault 代理Kubernetes 的 Vault 代理Vault 入门视频指南更新的指南:入门-安装VaultTokensCubbyhole Response Wrapp...
演讲实录(文字+视频)| 使用Vault管理Jenkins凭据
DevOps持续集成的博客
03-08 566
本文为DevOps云学堂20230307期(2023第1次)直播实践分享内容整理,视频回放可以通过视频号观看。Jenkins 的凭据管理器有一些缺点和限制,而 Vault可以克服Jenkins凭据管理器的上述限制。集成 Vault 可以帮助 Jenkins 更好地管理和保护敏感数据,并提高数据的安全性。实验环境准备通过下面的docker-compose.yml文件启动Vault和Jenkins 服...
如何使用 Vault 安全地存储配置的 secret
华章IT官方博客
05-04 845
导读:每一个应用程序都有需要保密的信息,这些信息可能包括数据库凭证,外部服务认证,甚至某些资源的位置。所有这些都统称为密钥。应用程序需要一个安全的地方来存储这些密钥,无论是在应用程序启动时...
vault-图形界面
weixin_33971205的博客
01-31 251
vault官方没有提供图形界面功能,比较了几个开源的图形界面之后,觉得goldfish的功能相对完善。 goldfish部署 sudo mkdir /opt/goldfish && sudo chown `whoami:whoami` git clone https://github.com/Caiyeon/goldfi...
Vault AppRole最佳实现过程_vault approle认证,2024年最新网络安全工程面试问题
2401_83621918的博客
04-18 273
应用获取secret-id,读取机密信息。通过wrap封装secret-id。
邮袋:使用VaultAppRole身份验证方法来配置机密的工具
02-04
邮袋项目 邮袋和朋友是一组工具,用于根据的身份验证方法管理主机上的机密设置。 此项目正在开发中,其命令和配置可能有所更改 ...是一个守护程序,可以使用带有包装的机密ID的AppRole身份验证方法登录Vault
Vault实施文档.doc
02-21
Vault Client是客户端软件,负责与Vault Server通信,实现备份和恢复功能。Vault Media Server是媒体服务器,负责存储备份数据。 三、VAULT 的工作流程 Vault的工作流程可以分为以下几个步骤: 1. 备份:Vault ...
openmediavault
07-17
NAS openmediavault 6.0.24 OMV
vault:PHP HashiCorp Vault客户端
04-04
金库PHP8 HashiCorp Vault客户端安装composer require cubequence/vault示范代码<?phprequire './vendor/autoload.php' ;// ...
Data Vault数据库建模指南.pdf
08-23
DATA VAULT建模指南,包含建模理论和实例指导。详细描述data vault建模方法的文档。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8332
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
培训课件 -从0到1搭建培训管理体系.pptx
07-13
培训课件 -从0到1搭建培训管理体系.pptx
tensorflow-gpu-2.9.0-cp37-cp37m-win-amd64.whl.zip.(whl)
最新发布
07-14
使用时需去掉后缀.(whl)后再解压
JavaScript:ES6新特性深入解析
07-14
JavaScript:ES6新特性深入解析
Go:Go语言项目实战教程
07-14
Go:Go语言项目实战教程
一些流行的原生和第三方平台的App开发教程和源代码项目资源
07-14
App开发是一个广泛的话题,涉及多个平台和语言。以下是一些流行的原生和第三方平台的App开发教程和源代码项目资源: ### 原生开发 1. **iOS (Swift)** - 官方文档:[Apple Developer Documentation](https://developer.apple.com/documentation/) - 教程:[Ray Wenderlich](https://www.raywenderlich.com/library) - 开源项目:[SwiftKickMobile - 各种Swift开源项目集合](https://github.com/SwiftKickMobile) 2. **Android (Kotlin/Java)** - 官方文档:[Android Developers](https://developer.android.com/docs) - 教程:[CodePath Android Cliffnotes](https://guides.codepath.com/android) - 开源项目:
ansible vault
06-18
Ansible Vault是Ansible项目中的一个重要组件,用于加密和保护敏感信息,比如SSH密钥、密码或API凭据等。它确保在Ansible配置文件(playbooks)中存储的这些敏感数据在传输和存储时不被未授权访问。 1. 加密数据:Vault允许你将playbook中的变量加密,只有在执行时提供正确的密码或加密密钥才能解密并使用这些数据。 2. 安全策略:Vault支持多种加密算法,如AES-256,你可以根据组织的安全需求选择合适的加密级别。 3. 分级访问控制:Vault支持基于角色的访问控制(RBAC),管理员可以设置不同的用户对特定vault文件的读写权限。 4. 交互式模式:对于不希望在配置文件中明文存储密码的情况,Ansible Vault提供了交互式模式,可以在运行时输入密码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

流浪法师12

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值