HashiCorp Vault 快速入门：基础操作与安全实践指南

HashiCorp Vault 快速入门：基础操作与安全实践指南

vault A tool for secrets management, encryption as a service, and privileged access management 项目地址: https://gitcode.com/gh_mirrors/va/vault

前言

在现代分布式系统中，密钥管理是安全架构的核心环节。HashiCorp Vault 作为业界领先的密钥管理工具，提供了集中化的密钥存储、动态密钥生成和数据加密等功能。本文将带您快速掌握 Vault 的基础操作流程，包括开发模式启动、认证机制配置、密钥存储与访问控制等核心功能。

开发模式启动

重要安全提示：开发模式（dev mode）仅适用于本地学习和测试环境，绝对禁止在生产环境使用。该模式会将所有数据存储在内存中，且自动启用不安全但方便测试的配置。

启动开发模式服务器的命令如下：

vault server -dev -dev-root-token-id="dev-only-token"

这里我们指定了根令牌为"dev-only-token"。根令牌拥有 Vault 的完全控制权限，相当于系统的 root 用户。在生产环境中，我们应严格限制根令牌的使用，转而采用基于角色的细粒度权限控制。

认证与授权配置

1. 环境准备

在新终端中设置环境变量：

export VAULT_ADDR='http://127.0.0.1:8200'

使用根令牌登录：

vault login dev-only-token

2. 认证插件配置

Vault 支持多种认证方式，我们首先配置两种典型场景：

用户密码认证（userpass） - 适用于人工操作：

vault auth enable userpass
vault write auth/userpass/users/opsuser password=p@ssw0rd

应用角色认证（approle） - 适用于自动化流程：

vault auth enable approle
vault write auth/approle/role/my-app-role \
    secret_id_ttl=10m \
    token_ttl=20m \
    token_max_ttl=30m

这里我们为应用角色设置了合理的令牌生命周期：secret_id有效期为10分钟，令牌有效期为20分钟，最大生命周期为30分钟。这种短时效设计是安全最佳实践，可以降低凭证泄露的风险。

密钥管理实践

1. 启用KV密钥引擎

KV（Key-Value）是Vault最基础的密钥引擎，用于存储静态密钥：

vault secrets enable -path shared -version 2 kv

注意我们指定了v2版本，该版本支持密钥版本控制、CAS检查等高级功能。

2. 存储密钥数据

存储用户凭证：

vault kv put -mount shared kv/creds username=opsuser password=p@ssw0rd

存储API密钥：

vault kv put -mount shared kv/api-keys square=1234

KV引擎的操作语法直观，put用于写入或更新，get用于读取，delete用于删除。

安全策略配置

1. 创建访问策略

为了避免过度使用根令牌，我们需要创建细粒度的访问策略。以下策略只允许对/creds路径的操作：

vault policy write kv-access-policy - << EOF
path "shared/data/kv/creds" {
   capabilities = ["read", "create", "update", "delete"]
}
EOF

2. 策略绑定

将策略绑定到opsuser用户：

vault write auth/userpass/users/opsuser policies=kv-access-policy

策略验证

1. 用户登录

vault login -method=userpass username=opsuser
# 输入密码：p@ssw0rd

2. 权限测试

成功读取授权路径：

vault kv get -mount=shared kv/creds

尝试越权访问（应失败）：

vault kv get -mount=shared kv/api-keys

这个测试验证了最小权限原则的有效性 - 用户只能访问明确授权的资源。

生产环境注意事项

虽然本文使用开发模式进行演示，但在生产环境中您应该：

1. 使用持久化存储后端
2. 启用TLS加密通信
3. 配置审计日志
4. 实施自动化的凭证轮换
5. 使用命名空间进行多租户隔离
6. 定期进行密封/解封操作

总结

通过本指南，您已经掌握了Vault的核心操作流程：

1. 服务启动与认证配置
2. 多因素认证机制实现
3. 密钥的安全存储与管理
4. 基于策略的访问控制

这些基础技能是构建安全密钥管理体系的第一步。建议在掌握这些操作后，进一步学习动态密钥、PKI证书管理和加密即服务等高级功能。

vault A tool for secrets management, encryption as a service, and privileged access management 项目地址: https://gitcode.com/gh_mirrors/va/vault