我开始使用保险库,当我在保险库中添加一个秘密时,我正在通过租约= 10s但是在10s之后,秘密没有被删除。如何从保险库中删除秘密?
vault write -address=http://localhost:8200 secret/foo name=foo lease=10s
Success! Data written to: secret/foo
vault read -address=http://localhost:8200 -format=json secret/foo
{
"request_id": "498db605-a238-2d99-2e36-7045c826f48d",
"lease_id": "",
"lease_duration": 10,
"renewable": false,
"data": {
"lease": "10s",
"name": "foo"
},
"warnings": null
}
答案 0 :(得分:0)
关于KV秘密后端的秘密的TTL实际上并不是为了删除这个秘密,它更像是一个咨询领域,无论是什么检索秘密:https://www.vaultproject.io/docs/secrets/kv/index.html#ttls
与其他机密引擎不同,KV机密引擎不会强制使用TTL到期。相反,lease_duration是消费者应该检查新值的频率的提示。这通常显示为refresh_interval而不是lease_duration,以便在输出中阐明这一点。
即使是ttl设置,秘密引擎也不会自行删除数据。 ttl键仅仅是建议性的。
你可能能够使用cubbyhole来强制执行某种秘密的TTL,因为一旦令牌到期,小房间就会被破坏。每个cubbyhole仅限于使用它的令牌,并且没有2个令牌可以访问彼此的Cubbyhole但是:https://www.vaultproject.io/docs/secrets/cubbyhole/index.html