我使用https://www.vaultproject.io/docs/auth/approle.html生成保管库客户端令牌,但我希望它们永远不会过期。这可能吗?
答案 0 :(得分:0)
不,实际上这是一个坏主意(tm)。你可以接近。您可以将最大ttl设置为10年或更长时间,并使其有效不会过期。但是,从安全角度来看,这很糟糕。这里的目标是,能够轻松随时旋转机密。即你看到有人偷了登录的秘密,你应该能够非常快速,轻松地设置一个新密码,你的代码/程序使用这些秘密应该处理它,只需在他们的TTL到期时从Vault获取新值。
这适用于所有,包含的保险库令牌。