Question

我正在使用Hashicorp Vault：

我希望用户可以创建新用户，但无法读取他们的秘密。

我是否只需创建一个政策：

path "sys/auth/token/*" {
  policy = "write"
}

因为所有政策都设置为拒绝？

Answer 1

这是使用Vault的错误方法。这些是我的错误：

尝试存储用户密码。对我来说，处理平台密码看起来更好，比如集成的临时postgre凭证。
尝试删除服务器上的任何身份验证密钥。如果要自动创建Vault用户，则需要在具有适当权限的脚本或文件中的某个位置存在Vault凭据。
尝试缓解root服务器。如果某人具有root访问权限，则存在更大的问题。加密可以缓解数据泄漏，例如数据库转储。如果在我的情况下root访问权已被泄露，则必须接受数据泄漏。最好不要专注于不扎根。