Vault: 基础教程之密码引擎及动态密码生成

最新推荐文章于 2025-04-10 17:27:29 发布
最新推荐文章于 2025-04-10 17:27:29 发布
阅读量3.3k 收藏 2
点赞数 1
分类专栏: 密码学与安全 文章标签: vault
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34911465/article/details/81587950
版权

二、密码引擎

在前面看到的所有密码的写入和读出,你可能发现他们都是以secret/开头的,尝试一下不同的前缀:

vault write foo/bar a=b

会得到一个错误:no handler for route 'foo/bar'

因此,前缀代表的是vault所用的密码引擎,默认为secret/

启动密码引擎

使用命令vault secrets enable -path=kv kv可以启动密码引擎kv/

也可以使用命令vault secrets list查看系统中含有的其他引擎。

禁用密码引擎

命令vault secrets disable kv/可以关闭。

做了以上这些后,到底什么是密码引擎呢?

vault在不同的文件系统上的表现都一致,read/write/delete/list操作都会被转递到这个密码引擎,而密码引擎则会决定如何回应这些操作。

三、动态密码生成

接下来开始体验vault的其他特性了:动态秘钥。和kv(键值对)方式需要你把数据放入不同,动态密码在访问时自动生成,它在你读取之前都不存在,所以也不会有被盗取的风险,因为vault有内置的过期管理办法,动态秘钥可以随时过期。

注意:在开始这一部分前,请先注册好AWS的账户,这里的所有特性都是免费的,但注意你可能产生的任何费用。

启用并配置AWS密码引擎

使用命令vault secrets enable -path=aws aws可以启用AWS密码引擎。不同的引擎允许不同的行为。

在配置好密码引擎后,需要配置并启用使得它能够和AWS通信,这需要有权限的账户认证,你也可以用root账户秘钥。

$ vault write aws/config/root \
    access_key=AKIAI4SGLQPBX6CSENIQ \
    secret_key=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
Success! Data written to: aws/config/root

现在上面的信息都被存储在密码引擎中,这个引擎会在将来和AWS通信时使用这些信息。

创建一个角色

接下来我们配置一个角色,角色是友好的标识。vault知道怎么通过AWS的API创建一个IAM用户,不过他也不知道你想在这个用户里使用什么权限,组和权限。这是配置在 - roles的配置选项下的。

举个例子,这里是一个IAM策略,这个策略允许所有的对EC2的操作。当vault生成一个可访问的键时,会自动添加这些策略。生成的一个秘钥具有对EC2的完全访问权限,除了IAM和其他AWS的服务。如果你不熟悉AWS的IAM策略,那也可以,先使用这个先。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1426528957000",
      "Effect": "Allow",
      "Action": [
        "ec2:*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

按照线面所说,我们需要把这个策略文件写入到一个命名的role下,我们将它写入到aws/roles/:name

$ vault write aws/roles/my-role policy=-<<EOF
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1426528957000",
      "Effect": "Allow",
      "Action": [
        "ec2:*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
EOF
Success! Data written to: aws/roles/my-role

使用上面aws/roles/:name就是告诉vault,当我请求my-role的验证时,创造并添加IAM的策略{ "Version": "2012..." }

生成秘钥和废弃

现在AWS密码引擎是启用的,并配置了角色,我们可以请求vault生成一个可访问的密钥对,通过读取aws/creds/:name:name是一个存在的角色的名字。

$ vault read aws/creds/my-role
Key                Value
---                -----
lease_id           aws/creds/my-role/0bce0782-32aa-25ec-f61d-c026ff22106e
lease_duration     768h
lease_renewable    true
access_key         AKIAJELUDIANQGRXCTZQ
secret_key         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
security_token     <nil>

现在这个access和secretkey可以用来在AWS部署所有的EC2操作,这些key是心生成的,每次运行这个命令都会重新生成key。注意一下lease_id,可以用来刷新、废弃和检查。

现在可以使用:

$ vault lease revoke aws/creds/my-role/0bce0782-32aa-25ec-f61d-c026ff22106e
python密码学之混沌工程概述及密码系统中的应用
qq_42568323的博客
04-28 841
本文从混沌工程(Chaos Engineering)的基本原理出发,结合密码系统的特殊需求,提出并实现了一套密码系统混沌工程测试框架,旨在通过可控的故障注入(如比特翻转、时钟漂移、内存故障、网络延迟等),验证加解密服务与密钥管理模块在极端条件下的鲁棒性与安全性。
使用ansible-vault加密敏感数据
朝闻微风的博客
05-28 274
使用ansible-vault处理敏感数据 加密敏感数据 encrypt(加密)、decrypt(解密)、view(查看),rekey(重置密码) [root@control ansible]# echo 123456 > data.txt #新建测试文件 [root@control ansible]# ansible-vault encrypt data.txt #加密文件 New Vault password: ...
ansible-vault 加密整个变量文件 或 单个变量
weixin_44487339的博客
01-13 1084
ansible-vault 加密整个变量文件 或 单个变量 1. 编辑变量文件 vi allVaultedVarFile.yml abc: xxx efg: 9;lkjp paw: j!meter 2. 加密整个变量文件 ansible-vault encrypt allVaultedVarFile.yml //输入密码用于加密,e.g. test1234 加密后如果要查看文件的内容,需要用 v...
统一秘钥管理工具Vault
最新发布
xuweilin的博客
04-10 362
(如 API 密钥、数据库凭据、证书等)的工具,提供加密、访问控制、审计日志等功能。实现与 Vault 的集成,支持自动读取秘钥并注入到应用中。Spring Boot 通过。避免硬编码 Token,改用。
Ansible学习笔记——vault加密
qq_37387363的博客
03-15 523
这里写自定义目录标题语法及常用操作使用加密文件中的变量来创建用户 语法及常用操作 1. 创建文件:需要输入文件的密码 [student@workstation ~]$ ansible-vault create val-test.yml New Vault password: Confirm New Vault password: 编辑完之后,使用cat查看到加密的结果 [student@workstation ~]$ cat val-test.yml $ANSIBLE_VAULT;1.1;AES25
ansible-vault 加密 查看加密文件 编辑加密文件 解密
qigemingzhendnan的博客
07-15 1225
ansible-vault ansible-vault create ansible创建加密文件 ansible-vault encrypt ansible对已存在的文件加密 ansible-vault view 查看加密文件 ansible-vault edit 编辑加密文件 ansible-vault decrypt 解密 ansible-vault rekey 更改加密口令
vault, 生成安全密码,这样你就不需要记住它们.zip
10-10
vault, 生成安全密码,这样你就不需要记住它们 库 vault 是一个简单的密码管理器。 给出口令和服务的NAME 后,它将为该服务返回一个强密码。 你只需要记住你的密码,你不会给任何人,vault 会为你所使用的每个服务提供不同的密码密码短语可以是任何你喜欢的文字。给定同样
演示环境搭建教程:Hashicorp Vault与Consul基础
- Vault提供了多种功能,包括静态和动态密码生成密码生命周期管理、动态密钥的生成、集中式密钥存储和加密数据的解密等。 - Vault的使用场景非常广泛,可以用于保护应用程序和服务之间的通信,管理数据库凭证,...
基于mybatis-plus的代码自动生成工具(自定义模板)
weixin_44097750的博客
11-27 5614
MyBatis-Plus是一个MyBatis框架的增强工具,在MyBatis的基础上只做增强不做改变,为简化开发、提高效率而生。对于mybatis-plus不了解的同学,可以去MyBatis-Plus官网看看。真的能让开发效率显著提高,本文就来和大家一起分享下它的代码自动生成工具。 其实在MyBatis-Plus的官网就为我们提供了代码生成器的使用教程,它可以为完成最基本的代码生成,但是想...
Ansible-2.9.27进阶教程:变量与条件语句的高级应用
[Ansible-2.9.27进阶教程:变量与条件语句的高级应用](https://opengraph.githubassets.com/45e352450e6eeeb09a8a1d0e12a03075bc03f94d34ec31b9b59075b420b44378/ansible/ansible) # 摘要 本文深入探讨了Ansible...
栋的月结 | 第一回合(定期更新、动态、架构、云技术、算法、后端、前端、收听/收看、英文、书籍、影视、好歌、新奇)[含泪总结.. 憋泪分享!]
纽雪澳诺加海美德的博客
02-01 2346
开篇词 大家好!以下是我在 2020 年 1 月 1 日至 31 日的所见、所闻、所学和所悟。 现在,我把它们安利给你们。   定期更新 原创专栏: 栋的周评 一文搞定 Linux 管理员手册:既简单又深刻 官方授权: Baeldung Java 周评 符合官方许可: Spring 官方指南   动态 在我的《一文搞定》系列专栏里新增了: 《一文搞定 |...
vault:Python密码管理器
05-23
金库 Vault是一个简单的Python密码管理器。 它使您可以通过简单的CLI界面安全地保存机密。 特征 机密信息使用存储在加密SQLite数据库中 在数据库中,每个密码和注释均使用进行AES-256加密并使用唯一的盐进行加密 主密钥用唯一的盐进行哈希处理 可以创建无限数量的保管库 剪贴板自动清除 闲置后自动保管库锁定 使用密码建议 在Json中导入/导出 基本用法 安装与设定 安装sqlcipher Vault 2.x要求在您的计算机上安装sqlcipher 。 在MacOS上,可以使用安装它: brew install sqlcipher # Install sqlcipher3 pip3 install sqlcipher3==0.4.5 # If you are getting an error "Failed to build sqlcipher3", you woul
Go-使用Vault来存储Kubernetesr的secrets
08-14
使用Vault来存储Kubernetesr的secrets
ansubie作业(创建password vault,为Ansible vault文件修改密码
m0_58163836的博客
04-13 930
1、 创建 password vault 创建一个名为 locker.yml 的 ansible vault 文件存储用户密码: * Vault 文件中包含两个变量: pw_developer: imadev pw_manager: imamgr * 加密此文件的密码为redhat * 此密码存放在: /home/devops/ansible/secret.txt 2、为 Ansible vault 文件修改密码 请为 expense.yml 文件修改 vault 密码, 要求如下: - 请将 .
vault-服务器密码/证书管理工具
weixin_34014555的博客
01-23 1100
vault介绍 vault是什么 vault是一个密码/证书集中式管理工具,通过HTTP-API对外提供统一的密码访问入口,并且提供权限控制以及详细的日志审计功能。 一个系统可能需要访问多个带密码的后端:例如数据库、通过API keys对外部系统进行调用,面向服务的架构通信等等。要将众多系统中的用户和权限对应起来已经非常困难,加上提供密钥...
HashiCorp Vault浅入门以及资料整理
deng_keng的博客
03-29 8038
参考资料 vault学习博客(入门推荐) Vault官方文档 HashiCorp Vault | 技术雷达 vault-服务器密码/证书管理工具 HashiCorp Vault介绍(入门推荐) vault学习笔记 1、Vault是什么 vault是一个密码/证书集中式管理工具,通过HTTP-API对外提供统一的密码访问入口,并且提供权限控制以及详细的日志审计功能。 一个系统可能需要访问多个带密码的后端:例如数据库、通过API keys对外部系统进行调用,面向服务的架构通信等等。要将众多系统中的用户和权限对应
Vault从入门到精通系列之一:深入了解安全工具VaultVault根令牌和解封密钥,详细整理部署Vault的详细步骤
zhengzaifeidelushang的博客
06-19 6855
至此成功安装部署Vault 下一篇详细了解下如何应用安全工具Vault
SpringCloud搭建微服务之Vault密钥管理
liu320yj的博客
01-31 2670
Vault是一款管理密钥和保护敏感数据的组件,用于保护、存储和严格控制对令牌、密码、证书和加密密钥的访问,可以使用UI客户端、CLI和HTTP API访问密钥和其他敏感数据
Vault系列之:理解Vault Secrets engines、理解Transit Secrets Engine、加密解密内容
zhengzaifeidelushang的博客
08-11 295
这是一个使用 Vault 命令行工具创建 Transit Secret Engine 中的一个加密密钥的命令,并显示了创建后的密钥的相关属性。这是一个使用 Vault 命令行工具读取 Transit Secret Engine 中的一个加密密钥的命令,并显示了密钥的相关属性。Vault 将使用密钥环中的适当密钥解密该值,然后使用密钥环中的最新密钥加密生成的明文。这是一个使用 Vault 的 Transit Secret Engine 进行加密操作的命令。生成的数据是 base64 编码的。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值