Vault AppRole最佳实现过程

最新推荐文章于 2023-12-24 18:21:59 发布
最新推荐文章于 2023-12-24 18:21:59 发布
阅读量360 收藏
点赞数 1
分类专栏: Vault 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weare001/article/details/131531634
版权
AppRole 是 Vault 中一种面向自动化工作流程的身份验证方法,适用于机器和服务。本文介绍了AppRole的工作原理、核心安全设计,如Cubbyhole Response Wrapping,并详细阐述了创建与管理AppRole的流程,包括Python实践中的封装和解封操作。
摘要由CSDN通过智能技术生成

AppRole

AppRole身份验证方法允许机器或应用程序使用 Vault 定义的角色进行身份验证。AppRole 的开放式设计支持使用不同的工作流和配置来应对大量应用程序。这种身份验证方法主要是面向自动化工作流程(机器和服务)设计的,对人类操作者不太有用。

“AppRole”代表一组 Vault 策略和登录约束,必须满足这些策略才能使用这些策略获取令牌。范围可以根据需要进行调整。可以为特定机器、甚至该机器上的特定用户或跨机器的服务创建 AppRole。成功登录所需的凭据取决于相关联的 AppRole 所设置的约束。

以下是基于封包机制,提供了几乎完美的过程保护机制。

图中第6、7、8、9是保护过程安全的核心设计(封包机制:Cubbyhole Response Wrapping,通过一个极短生命周期的凭证来尽可能减少过程暴露的风险)q qun 830709780。

AppRole

  • AppRole的管理只能通过cli或api操作,UI页面未提供功能。

  • 创建approle的参数
    • 如果您的 approle 签发的令牌需要能够创建子令牌,您需要将token_num_uses设置为0。
  • SecretID的维护机制

操作流程

1. 创建Approle认证挂载点

vault auth enable approle
# 查看挂载点
vault auth list

2. 创建一个基于approle认证方式的role——app-role

vault write auth/approle/role/app-role
# 列举角色
vault list auth/approle/role
# 查看角色app-role
vault read auth/approle/role/app-role

3. 查看app-role的role-id

vault read auth/approle/role/app-role/role-id

4. 将secret-id通过wrap封装,生成一个wrapping_token

# wrapping_token生命周期为60秒
vault write -f -wrap-ttl=60s auth/approle/role/app-role/secret-id

5. 将上一步生成的wrapping_token通过unwrap解封,拿到真正的secret-id

vault unwrap hvs.CAESIGjCf15OmzBiRgQGDKVJluJO8sUxwdQlxpCJz5hHpgqwGh4KHGh2cy5tVkEzbXVPekVubHBNcnZCUVdCRU16Z3U
# 生产环境整个过程中真实secret-id都不会被暴露出来!

python实践

通过wrap封装secret-id

# filename:approle.py
import hvac

client = hvac.Client(url='https://xxxx',token='hvsXXXX', verify=False)

def secret_id():
    client.write(path='auth/approle/role/test')
    response = client.write(path='auth/approle/role/test/secret-id',wrap_ttl='10s')
    unwrapped_token = client.sys.unwrap(response['wrap_info']['token'])
    return unwrapped_token['data']['secret_id']

应用获取secret-id,读取机密信息

import hvac
import approle # 获取secret-id模块

# 初始化Vault客户端
client = hvac.Client(url='https://xxxx', verify=False)

# 定义AppRole相关信息
role_id = '0bf98057-039c-5aa7-8b72-18131d5f325d'
secret_id = approle.secret_id()

client.auth.approle.login(
    role_id=role_id,
    secret_id=secret_id
)

secret_version_response = client.secrets.kv.v2.read_secret_version(mount_point='secret', path='kv/a2')

print(secret_version_response['data']['data'])
# {'email': 'example@qq.cn', 'password': 'acd', 'username': 'test'}

相关链接:

Vault系列之:了解Vault应用场景,安装Vault详细步骤,使用Vault创建管理密钥详细案例
zhengzaifeidelushang的博客
08-11 280
安全存储敏感数据:Vault可以用来安全存储敏感数据,例如数据库凭据、API密钥、加密密钥等。Vault提供了密钥管理、加密和解密的功能,可以确保敏感数据的安全存储和访问。 - 动态秘钥生成和管理:Vault可以生成和管理动态秘钥,例如用于身份验证、加密和解密等。Vault的动态秘钥功能可以确保每个用户或应用程序都有唯一的秘钥,并且可以定期轮换秘钥以增加安全性。 - 访问控制和权限管理:Vault可以用来管理访问控制和权限,例如限制用户或应用程序对特定资源的访问权限。Vault提供了身份验证、授权和审计
Vault的程序侧接入方式-AppRole
咖啡男孩之SRE之路
12-31 1523
程序侧的接入对于Vault来说也是一种Accessor的接入,而AppRole绝对不是Vault首推的程序侧接入方式,但它是最方便的接入方式。
【译】Vault 学习资源:1.0, 自动解印, 代理, Kubernetes
weixin_34037173的博客
01-08 168
2018年12月20日 HYAKUNA YKO我们很高兴地宣布更多的动手指南, 以帮助您学习和集成 vault 作为您的机密管理解决方案。一些预先存在的指南也已更新。新指南:使用 GCP 云 KMS 自动解印带有 AWS 的 Vault 代理Kubernetes 的 Vault 代理Vault 入门视频指南更新的指南:入门-安装VaultTokensCubbyhole Response Wrapp...
spring-vault 入门 demo
asfasfasgjkl的博客
08-29 697
spring整合vault入门demo
Vault从入门到精通系列之一:深入了解安全工具VaultVault根令牌和解封密钥,详细整理部署Vault的详细步骤
zhengzaifeidelushang的博客
06-19 5379
至此成功安装部署Vault 下一篇详细了解下如何应用安全工具Vault
Vault: 基础教程之内置帮助及认证
博客
08-11 2837
四、内置帮助 现在你已经使用过键值对的密码引擎及AWS下的动态密码生成了,在两个例子之中,结构是使用都是不一样的,那么你要如何记住使用什么路径呢,vault里面有内置的帮助系统,可以通过api或者命令行访问,同时生成可读的帮助信息。 首先我们还是启用aws,通过vault secrets enable -path=aws aws来启用,然后即可使用vault path-help aws来查看路...
邮袋:使用VaultAppRole身份验证方法来配置机密的工具
02-04
邮袋项目 邮袋和朋友是一组工具,用于根据的身份验证方法管理主机上的机密设置。 此项目正在开发中,其命令和配置可能有所更改 ...是一个守护程序,可以使用带有包装的机密ID的AppRole身份验证方法登录Vault
vault-secrets-operator:从Vault创建Kubernetes机密,以实现基于GitOps的安全工作流
02-03
Vault创建Kubernetes机密,以实现基于GitOps的安全工作流。 Vault Secrets操作员从Vault创建Kubernetes秘密。 Vault Secrets Operator的想法是使用基于GitOps的安全工作流来管理Kubernetes集群中的秘密。 有关...
spring-boot-vault-demo:演示项目,展示spring-boot和Hashicorp Vault的集成
02-05
Spring Boot Vault演示 入门 创建一个空的bootstrap.yml : touch bootstrap.yml 运行gradle构建所有必需的文件: ./gradlew build 设置保管库 启动保管库容器: docker-compose up --build vault 初始化保管箱:...
Vault实战(二)-Vault开发
最新发布
sre救赎之路
12-24 434
【代码】Vault实战(二)-Vault开发。
演讲实录(文字+视频)| 使用Vault管理Jenkins凭据
DevOps持续集成的博客
03-08 620
本文为DevOps云学堂20230307期(2023第1次)直播实践分享内容整理,视频回放可以通过视频号观看。Jenkins 的凭据管理器有一些缺点和限制,而 Vault可以克服Jenkins凭据管理器的上述限制。集成 Vault 可以帮助 Jenkins 更好地管理和保护敏感数据,并提高数据的安全性。实验环境准备通过下面的docker-compose.yml文件启动Vault和Jenkins 服...
vault-图形界面
weixin_33971205的博客
01-31 275
vault官方没有提供图形界面功能,比较了几个开源的图形界面之后,觉得goldfish的功能相对完善。 goldfish部署 sudo mkdir /opt/goldfish && sudo chown `whoami:whoami` git clone https://github.com/Caiyeon/goldfi...
如何使用 Vault 安全地存储配置的 secret
华章IT官方博客
05-04 880
导读:每一个应用程序都有需要保密的信息,这些信息可能包括数据库凭证,外部服务认证,甚至某些资源的位置。所有这些都统称为密钥。应用程序需要一个安全的地方来存储这些密钥,无论是在应用程序启动时...
linux检测hashicorp,在Ubuntu/CentOS/Debian上安装和配置Hashicorp Vault服务器的方法
weixin_29003437的博客
05-14 477
本文介绍在Ubuntu 18.04/Debian 9/CentOS 7/Fedora上安装Vault服务器(Hashicorp Vault Server)、配置Vault systemd服务、初始化Vault、配置Vault角色和策略及写下并获得Secrets。简介Hashicorp Vault是一款免费的开源工具,专为安全存储和访问机密而设计,Secrets可以是密码,API密钥,证书等,Vau...
Consul-Template
a624575745856085的博客
09-19 763
Consul-Template简介 Consul-Template是基于Consul的自动替换配置文件的应用。在Consul-Template没出现之前,大家构建服务发现系统大多采用的是Zookeeper、Etcd+Confd这样类似的系统。 Consul官方推出了自己的模板系统Consul-Template后,动态的配置系统可以分化为Etcd+Confd和Consul+Cons...
Spring系列学习之Spring Cloud Vault微服务外部配置凭据客户端支持
纸上得来终觉浅,绝知此事要躬行
12-25 2097
英文原文:https://cloud.spring.io/spring-cloud-vault/ 目录 Spring Cloud Vault 特性 快速开始 添加Spring Cloud Vault配置模块 发布版本 相关项目 Spring Cloud Vault Spring Cloud Vault Config为分布式系统中的外部化配置提供客户端支持。 使用HashiCorp...
Spring Boot加密配置属性--Spring Cloud Vault详解
weixin_33750452的博客
01-03 2733
项目中敏感配置信息一般需要进行加密处理,比如数据库密码,Spring Boot内置不提供加密支持,不能加密配置文件信息,在官方文档中提供了自定义Environment和Spring Cloud Vault两种解决方案。使用jasypt-spring-boot是另一种方案。 Spring Cloud Vault为HashiCorp Vault的客户端,支持访问HashiCorp Vault内存储的数...
Spring Cloud Vault 使用示例
王浩的技术博客
10-26 6797
1.概述 在本文中我们将展示如何在Spring Boot应用程序中使用Hashicorp的Vault来保护敏感的配置数据。 我们在这里假设你已经掌握了一些Vault知识,并且已经准备好了运行环境。如果不是这样的话,让我们花点时间阅读下之前的文章Vault 介绍教程,以便我们熟悉其基础知识。 2. Spring Cloud Vault Spring Cloud VaultSpring Cloud堆...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8538
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

流浪法师12

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值