HashiCorp Boundary 中的凭证库(Credential Library)详解

于 2025-06-10 09:17:13 发布
阅读量217 收藏 3
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00091/article/details/148552018
版权

HashiCorp Boundary 中的凭证库(Credential Library)详解

boundary Boundary enables identity-based access management for dynamic infrastructure. boundary 项目地址: https://gitcode.com/gh_mirrors/bo/boundary

什么是凭证库

在HashiCorp Boundary中,凭证库(Credential Library)是一个关键资源,它负责从凭证存储(Credential Store)中提供相同类型和相同访问级别的凭证。简单来说,它就像是一个专门管理特定类型凭证的"图书馆",可以集中管理和分发凭证。

凭证库的核心属性

每个凭证库都有以下基本配置属性:

  1. 名称(name):可选属性,如果设置,必须在父凭证存储中保持唯一
  2. 描述(description):可选属性,用于标识凭证库的用户自定义描述

Vault通用凭证库

Boundary支持与HashiCorp Vault集成的通用凭证库,具有以下额外属性:

  • Vault路径(vault-path):必需属性,指定从Vault请求凭证的路径
  • 凭证类型(credential-type):可选属性,指定该库颁发的凭证类型,默认为"unspecified"
  • 凭证映射覆盖(credential-mapping-override):可选属性,可覆盖从Vault检索的凭证字段属性
  • HTTP方法(vault-http-method):可选属性,指定请求Vault凭证时使用的HTTP方法(GET或POST)
  • HTTP请求体(vault-http-request-body):可选属性,仅在HTTP方法为POST时有效,指定发送给Vault的请求体

Vault SSH证书凭证库(企业版功能)

从Boundary 0.12.0开始,支持使用Vault的SSH密钥引擎配置SSH凭证注入。SSH证书认证通过数字签名扩展了基于密钥的认证,用户的真实性由受信任的证书颁发机构(CA)签名的证书确定。

SSH证书凭证库的重要属性

  • Vault路径(vault-path):必需属性,指定从Vault请求凭证的路径
  • 用户名(username):必需属性,用于SSH证书的用户名,支持模板化
  • 密钥类型(key_type):可选属性,指定生成的SSH私钥类型(ed25519/ecdsa/rsa)
  • 密钥位数(key_bits):可选属性,根据密钥类型指定位数
  • 有效期(ttl):可选属性,指定SSH证书的有效期
  • 密钥ID(key_id):可选属性,指定创建的SSH证书的密钥ID
  • 关键选项(critical_options):可选属性,指定证书应签名的关键选项
  • 扩展(extensions):可选属性,指定证书应签名的扩展
  • 额外有效主体(additional_valid_principals):可选属性,指定除用户名外证书应签名的其他有效主体

重要提示:证书是为整个会话颁发的,如果ttl值小于目标的session_max_seconds值,后续连接可能会失败。建议确保ttl值等于或大于目标的session_max_seconds值,或者将目标的session_connection_limit设置为1。

凭证库参数模板化

Boundary 0.11.1引入了凭证库参数模板化功能,允许在调用Vault时提供关于Boundary用户或账户的信息。这在需要根据用户信息动态选择Vault角色或生成特定证书时特别有用。

支持的模板参数

  • 用户相关:

    • {{.User.Id}}:用户ID
    • {{.User.Name}}:用户名
    • {{.User.FullName}}:用户全名
    • {{.User.Email}}:用户邮箱

  • 账户相关:

    • {{.Account.Id}}:账户ID
    • {{.Account.Name}}:账户名
    • {{.Account.LoginName}}:账户登录名
    • {{.Account.Subject}}:账户主题
    • {{.Account.Email}}:账户邮箱

实用模板函数

  1. truncateFrom:从指定子字符串开始截断字符串

    • 示例:{{truncateFrom .Account.Email "@"}}可将"foo@example.com"转为"foo"

  2. coalesce:从列表中选择第一个非空值

    • 示例:{{coalesce .Account.Name .Account.LoginName}}可优先使用账户名,若为空则使用登录名

最佳实践建议

  1. 命名规范:为凭证库设置清晰、有意义的名称,便于管理和维护
  2. 描述详细:充分利用description字段记录凭证库的用途和注意事项
  3. 安全考虑
    • 对于SSH证书,合理设置ttl值以确保会话安全
    • 谨慎使用critical_options和extensions,避免授予过多权限
  4. 模板使用:利用模板化功能实现动态凭证管理,但要注意模板的安全性
  5. 监控与轮换:建立凭证使用监控和定期轮换机制

通过合理配置凭证库,Boundary可以实现安全、灵活的凭证管理,为基础设施访问提供强有力的安全保障。

boundary Boundary enables identity-based access management for dynamic infrastructure. boundary 项目地址: https://gitcode.com/gh_mirrors/bo/boundary

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

lammps教程:boundary命令详解
lammps_jiayou的博客
02-07 9553
boundary命令设置box的边界条件,语法比较简单: boundary x y z 参数xyz分别设置该维度的边界条件,最基本的边界条件有四种:p、f、s、m。 lammps支持对同一方向的两个边界设置不同的边界条件,对y方向下表面设置f边界、上表面设置s边界,可以写为: boundary p fs p 1.周期性边界:p 参数p表示周期性边界条件,当粒子从一侧飞出,会从相对应的另一侧再次进入box,一般情况下不会发生“lost atoms”丢失原子错误。 2.固定边界:f 参数f表示box的表面在
系统端口详解
热门推荐
isuker的博客
08-05 5万+
http://www.cnblogs.com/websocket/p/4763357.html # # Mon Dec 20 05:40:51 2004 UTC # # This services files is an attempt at collating the various port # numbers lists that I've encountered
Linux mem 1.1 用户态进程空间的创建 --- execve() 详解
pwl999的博客
10-26 2328
文章目录1. 原理介绍1.1 固定地址映射1.2 随机地址映射(ASLR)1.3 文件映射1.4 stack2. 代码详解2.1 execve()2.1.1 bprm_mm_init()2.1.2 copy_strings()2.1.3 security_bprm_check()2.2 load_elf_binary()2.2.1 flush_old_exec()2.2.2 setup_new_exec()2.2.3 setup_arg_pages()2.2.4 elf_map()2.2.5 load_el
.NET周刊【6月第2期 2024-06-09】
InCerry的博客
06-12 982
文章详细阐述了字符与字符编码、字符串基础的相关知识。介绍了字符Char及其在C#中的表现形式,说明了Unicode字符集及其各种平面的特点。解释了常见字符编码方案如UTF-8和UTF-16的区别。介绍了字符串的定义、不可变性以及常见操作方法,并提供了字符串常用API的详细说明。鉴权是验证用户身份的过程,确认用户提供的凭据是否有效。在.NET Core中,鉴权由IAuthenticationService管理,通过注册的处理程序实现。传统鉴权依赖密码,现代则多使用数字签名认证。鉴权是授权的前提。
Notes Twenty one days-渗透攻击-红队-权限提升
qq_34801745的博客
10-07 1万+
** Notes Twentieth Day-渗透攻击-红队-权限提升(dayu) ** 作者:大余 时间:2020-10-5 请注意:对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 我必须再重申一遍:务必不要做未授权测试!不要未经授权在真实网络环境中复现任何本书中描述的攻击。即使是出于好奇而不是恶意,你仍然会因未授权测试行为而陷入很多麻烦。为了个人能更
4.9、漏洞利用 smb-RCE远程命令执行
c10udz的博客
11-12 3907
1.1 samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。1.2 SMB(Server Messages Block,信息服务块)是一种在局域网上共享文件和打印机的一种通信协议,它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。SMB协议是客户机/服务器(C/S)型协议,客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。1.3 samba监听的端口。
i.MX arm 3.12.28 Kernel Configuration
张卫东的博客
10-25 3706
#make menucofig画面 General setup  --->                                                 通用选项设置                                                                 │ │ [*] Enable loadable module support  -
ansible-role-boundary:安装HashiCorp边界的Ansible角色
05-05
在RedHat和Debian系列操作系统上,默认情况下是从Hashicorp的官方存储安装软件包。 您可以通过将boundary_install_package设置为false来禁用此功能。 手动安装 以下值仅用于手动安装。 控制是否创建单独的帐户,...
DFT 中 boundary scan详解
Loving_enjoy的博客
10-10 1221
例如,对于一个电路板上的两个芯片A和B,如果芯片A的某个输出引脚应该与芯片B的某个输入引脚相连,通过边界扫描技术,可以在芯片A的输出引脚对应的BSC中加载一个已知的测试数据(如逻辑1),然后在芯片B的输入引脚对应的BSC中捕获数据。- 例如,对于一个具有特定功能的数字逻辑电路(如一个实现特定算法的组合逻辑电路),可以通过边界扫描技术将代表输入值的测试数据加载到与该逻辑电路输入相连的边界扫描单元中,然后经过内部逻辑运算后,在与输出相连的边界扫描单元中捕获输出数据,检查是否与预期的算法结果一致。
Boundary Representation Library-开源
05-10
"Boundary Representation Library-开源" 这个标题揭示了我们正在讨论的是一个开源的,专门用于处理3D实体的边界表示(Boundary Representation,简称BRep)。BRep是3D几何建模中的一种常见方法,它详细描述了物体...
详解React 16 中的异常处理
08-29
在React 16中,异常处理得到了显著的改进,引入了一个名为Error Boundary的概念。这个特性主要是为了解决在UI层的错误可能导致整个应用程序崩溃的问题。在React 15及更早版本,组件内部的错误可能会破坏React的状态...
华星时空-MF761C-V1.1全功能.bin
06-13
当前所发布的全部内容源于互联网搬运整理收集,仅限于小范围内传播学习和文献参考,仅供日常使用,不得用于任何商业用途,请在下载后24小时内删除,因下载本资源造成的损失,全部由使用者本人承担!如果有侵权之处请第一时间联系我们删除。敬请谅解!
IBMCSDL面试归来.docx
06-13
IBMCSDL面试归来.docx
12-五台山景点购票系统.zip
06-13
12-五台山景点购票系统.zip
7-疫情网课管理系统.zip
06-13
7-疫情网课管理系统.zip
2021网络安全建设与网络社会治理考试题(含答案).docx
06-13
2021网络安全建设与网络社会治理考试题(含答案).docx
国家计算机二级考试内容.docx
06-13
国家计算机二级考试内容.docx
MATLAB编辑一维热传导方程的模拟程序(可编辑修改word版).docx
06-13
MATLAB编辑一维热传导方程的模拟程序(可编辑修改word版).docx
基于web的智慧社区设计与实现.zip
最新发布
06-13
论文、PPT、开发文档、数据文档、源码 个人经导师指导并认可通过的高分设计项目,评审分98分,项目中的源码都是经过本地编译过可运行的,都经过严格调试,确保可以运行!主要针对计算机相关专业的正在做大作业、毕业设计的学生和需要项目实战练习的学习者,资源项目的难度比较适中,内容都是经过助教老师审定过的能够满足学习、使用需求,如果有需要的话可以放心下载使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

潘俭渝Erik

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值