vault kv创建使用方法

最新推荐文章于 2024-11-18 11:56:41 发布
最新推荐文章于 2024-11-18 11:56:41 发布
阅读量302 收藏
点赞数
文章标签: 前端 编辑器 github
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_33622098/article/details/130733245
版权
本文介绍了如何使用AppRole进行认证以访问和管理Vault中的secretkv。首先,文章详细阐述了Vault的安装和初始化过程,然后讲解了启用KV引擎和AppRole认证的方法。接着,创建并配置了名为k8s-policy的policy以及k8s-role的role,并关联了相应的权限。特别强调了路径匹配规则和避免在路径末尾添加/的重要性。最后,文章演示了如何获取role_id和secret_id以生成token,从而访问被授权的资源。
摘要由CSDN通过智能技术生成

概述

本文主要介绍使用approle的Authentication方式,认证secre kv,及注意事项。

安装及使用方法

  1. 安装方式参考官方文档

  2. 正式环境启动使用 vault server -config=config.hcl或者systemctl start vault;

  3. 然后按照如下步骤进行初始化:

     export VAULT_ADDR='http://127.0.0.1:8200'
 vault operator init

  4. unseal key
    vault operator unseal
    关于seal和unseal的概念,请参考官方文档

  5. Enable kv engine
    vault secrets enable -path=secret kv
    所有的kv将存储在secret类型的path下面

  6. Enable approle
    vault auth enable approle

  7. 写入kv数据
    官方文档介绍入下:
    The path-like KV-v1 syntax for referencing a secret (secret/foo) can still be used in KV-v2, but we recommend using the -mount=secret flag syntax to avoid mistaking it for the actual path to the secret (secret/data/foo is the real path).
    由于使用的是KV-v2,所以创建kv时,建议使用新语法加上-mount=secret 来避免不必要的麻烦,因为v2版本中,secret后面要加上path,如下所示:
    vault kv put -mount=secret k8s/k8s-sit robof=beepboopffaf
    ![在这里插入图片描述](https://img-blog.csdnimg.cn/3a207b31ab734377b9bc0ea7ba4d1564.png

  8. 创建名字为k8s-policy的policy

    	vault policy write k8s-policy - << EOF
	path "secret/data/*" {
	  capabilities = ["create", "update"]
	}
	
	path "secret/data/k8s/*" {
	  capabilities = ["read"]
	}
	EOF

    此处需要特别注意的是里面的path,不管是完全匹配,或者是使用通配符,最后一级path后面不能再加上/,最后一级path后面就是kv值了,如果加上/,会匹配不到,报权限不够的错误,关于此处匹配的使用详情,可参考官方文档
    在这里插入图片描述

  9. 创建名字为k8s-role的role,并关联上述k8s-policy

    vault write auth/approle/role/k8s-role \
 secret_id_ttl=100h \
 token_num_uses=10000 \
 token_ttl=200h \
 token_max_ttl=300h \
 secret_id_num_uses=40000 \
 token_policies=k8s-policy

    关于此处的一些参数解释,可点击此处参考官方文档。

  10. 获取role_id和secret_id,如下:

    export ROLE_ID="$(vault read -field=role_id auth/approle/role/k8s-role/role-id)" 
export SECRET_ID="$(vault write -f -field=secret_id auth/approle/role/k8s-role/secret-id)"

  11. 生成token
    vault write auth/approle/login role_id="$ROLE_ID" secret_id="$SECRET_ID"
    此时用获取的token既可以访问policy中设置的内容。

风唤雀翎
关注
Vault系列之:了解Vault应用场景,安装Vault详细步骤,使用Vault创建管理密钥详细案例
zhengzaifeidelushang的博客
08-11 295
安全存储敏感数据:Vault可以用来安全存储敏感数据,例如数据库凭据、API密钥、加密密钥等。Vault提供了密钥管理、加密和解密的功能,可以确保敏感数据的安全存储和访问。 - 动态秘钥生成和管理:Vault可以生成和管理动态秘钥,例如用于身份验证、加密和解密等。Vault的动态秘钥功能可以确保每个用户或应用程序都有唯一的秘钥,并且可以定期轮换秘钥以增加安全性。 - 访问控制和权限管理:Vault可以用来管理访问控制和权限,例如限制用户或应用程序对特定资源的访问权限。Vault提供了身份验证、授权和审计
Vault系列之:理解Vault Secrets engines、理解Transit Secrets Engine、加密解密内容
zhengzaifeidelushang的博客
08-11 133
这是一个使用 Vault 命令行工具创建 Transit Secret Engine 中的一个加密密钥的命令,并显示了创建后的密钥的相关属性。这是一个使用 Vault 命令行工具读取 Transit Secret Engine 中的一个加密密钥的命令,并显示了密钥的相关属性。Vault使用密钥环中的适当密钥解密该值,然后使用密钥环中的最新密钥加密生成的明文。这是一个使用 Vault 的 Transit Secret Engine 进行加密操作的命令。生成的数据是 base64 编码的。
vault key 管理工具
weixin_34247299的博客
07-02 305
Vault is a tool for securely accessing secrets. A secret is anything that you want to tightly control access to, such as API keys, passwords, certificates, and more. Vault provides a unified interfa...
Vault私钥管理工具实践
tsinson的博客
11-05 318
Vault私钥管理工具实践
Vault使用教程
bhwqq的博客
12-05 1318
本地开发环境启动client server ,开发环境的server 数据都保存在内存中,且交互式的内容都是没有tls协议加密的 ,请不要在生产环境运行dev环境 生产环境的数据应该都保存在磁盘或者consul里。 vault server -dev //需要记录下这个命令下的Unsealed key 和 access key 秘钥如下: Unseal Key: uDJZKpkZ0bvfPd3LnFmRLNgAQN8DNPBMeQQSMR//trk= Root Token: s.H5lx3jTkUrdOM
Vault: 基础教程之入门及使用介绍
热门推荐
博客
08-11 2万+
vault介绍 vault 是一个强大的密码管理工具,它基于命令行,是开源的。 vault是非常强大的,它具有如下特性: 1. 安全密码存储 2. 动态密码生成 3. 数据加密 4. 租期及更新 5. 废弃 下面来一步步介绍vault。 一、使用入门 首先我们使用vault server -dev开启vault的开发服务器,此服务器仅仅用于开发环境,生产环境下使用会导致不安...
Hashicorp Vault介绍和使用说明
王浩的技术博客
10-19 2万+
1.概述 在本文中,我们将探索Hashicorp的Vault —— 一种用于在现代应用程序体系结构中安全地管理机密信息的流行工具。 我们将讨论的主要议题包括: Vault试图解决什么问题 Vault的架构和主要概念 设置一个简单的测试环境 使用命令行工具与Vault交互 2.机密信息问题 在深入了解Vault之前,让我们试着了解它试图解决的问题:机密信息管理。 大多数应用程序需要访问机密数据才...
Vault: 基础教程之密码引擎及动态密码生成
博客
08-11 3283
二、密码引擎 在前面看到的所有密码的写入和读出,你可能发现他们都是以secret/开头的,尝试一下不同的前缀: vault write foo/bar a=b 会得到一个错误:no handler for route 'foo/bar'。 因此,前缀代表的是vault所用的密码引擎,默认为secret/。 启动密码引擎 使用命令vault secrets enable -p...
vaultkv:用于VaultKV内容的Go库(以及更多!)
02-10
如果您需要使用其他auth方法创建的承载令牌,则可以调用AuthX函数之一(当前,我们支持Github,LDAP和Userpass)。 可以选择提供http客户端(如果没有,则将使用http.DefaultClient )。 如果您想查看有关请求和...
vault mysql_Hashicorp vault 简明配置教程
weixin_42349261的博客
01-19 1059
vault 是 hashicorp stack 中管理敏感信息非常重要的一款产品,它囊括了私密信息,登陆密码、SSH Key、数据库登录信息、API 认证信息等。下面简单体验下 vault 的部署及使用。1、consul 配置及启动既然 vault 用来存储敏感信息,那么它的数据当然需要有地方存储,在 vault 里这样的存储引擎叫做 secret enginesecret engine 类似文...
使用 VAULT 加密的 GITLAB CICD Pipeline
NewTyun的博客
05-11 1311
新钛云服已为您服务1486天本文的的核心内容是提供有关如何设置 Gitlab 和 Vault 以在 CI/CD 管道构建期间使用密钥。另外,本文将分解 JWT 授权过程,并解释 Gitlab + Vault 的流程。通过本文,读者最终可以实现自己的带有 Vault 密钥的 CI/CD 流程。目的在 Vault 上启用 JWT 身份验证方法利用 JWT 授权从 Vault ...
前端(1)——快速入门HTML
m0_63086198的博客
11-14 961
参考: W3school 1. HTML 我使用的是vs code,在使用之前,先安装以下几个插件: Auto Rename Tage HTML CSS Support Live Server 1.1 HTML标签 HTML全称是Hypertext Markup Language(超文本标记语言) HTML通过一系列的标签(也称为元素)来定义文本、图像、链接等等。HTML,标签是由尖括号包围的关键 字。 标签通常成对出现,包括开始标签和结束标签(也称为双标签),内容位于这两个标签之间,例如
w042基于web的IT技术交流和分享平台的设计与实现
卓怡工作室的博客
11-18 735
我国科学技术的不断发展,计算机的应用日渐成熟,其强大的功能给人们留下深刻的印象,它已经应用到了人类社会的各个层次的领域,发挥着重要的不可替换的作用。信息管理作为计算机应用的一部分,使用计算机进行管理,具有非常明显的优点,利用网络的优势特开发了本基于SpringBoot的IT技术交流和分享平台。 本IT技术交流和分享平台是基于SpringBoot框架,采用Java技术,MYSQL数据库进行开发的。系统具有灵活的一体化设计方式,圆满完成了整个系统的界面设计。本系统实现了用户功能模块和管理员功能模块两大部分,
后端一次性返回数据,前端分页
qq_39307266的博客
11-14 403
vue 结合elementUI 分页组件,后端一次性返回数据,前端做分页。1.template中。js从后端获取总数据。
前端文件优化
weixin_62668406的博客
11-15 717
对于一张100*100像素的图片来说,图像上有 10000 个像素点,如果每个像素的值是 RGBA 存储的话,那么也就是说每个像素有 4 个通道,每个通道 1 个字节(8 位 = 1个字 节),所以该图⽚⼤⼩⼤概为 39KB(10000 * 1 * 4 / 1024)。但是在实际项⽬中,⼀张图⽚可能并不需要使⽤那么多颜⾊去显示,我们可以通过减少每个 像素的调⾊板来相应缩⼩图⽚的⼤⼩。
springboot整合websocket实现复制目录进度推送
前人栽树,后人乘凉。
11-14 416
/ 替换为你的WebSocket地址。启动Spring Boot应用程序,然后访问前端页面并触发文件复制操作。例如,通过浏览器访问。你应该能够在前端看到实时的复制进度。创建一个控制器来触发复制操作。
Vue3踩坑记录
最新发布
qq_44930306的博客
11-18 636
已知:使用ref定义基础类型数据;使用reactive定义复杂对象或数组;//以下都会报错 'items' is constantitems = []reactive的常量不能直接重新赋值,可以通过修改数组内容来更新数据。解决方法:(1)、替换数组中的所有元素// 清空数组// 清空数组//创建一个新的数组并赋值给 items(2)、ref支持重新赋值// 重新赋值整个数组备注:如果是对象:除非用ref,否则只能这样逐个赋值,且用 let 进行定义。
使用Web Components构建模块化Web应用
qq_36287830的博客
11-16 1088
允许开发者定义自己的 HTML 元素。Shadow DOM:提供了一种将 DOM 树与文档的其余部分隔离的方法,增强了封装性。:允许开发者定义可重复使用的 HTML 模板。(已废弃):允许开发者导入 HTML 文档中的 Web Components。自定义元素是 Web Components 的核心部分,允许开发者创建自己的 HTML 元素。自定义元素需要注册到全局的对象中。super();
【Java Web】Ajax 介绍及 jQuery 实现
m0_66584716的博客
11-15 1130
AJAX(Asynchronous JavaScript and XML)是一种创建高效、动态网页应用的网页开发技术。它允许在不重新加载整个页面的情况下进行异步数据更新和交互,从而提供更流畅的用户体验。尽管名字中包含了XML,但实际上,AJAX可以使用任何格式的数据,包括JSON、HTML等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值