我应该在哪里存储HashiCorp Vault的Unseal Key和Root Token?
Vault将由团队中的各个成员使用。
答案 0 :(得分:8)
在最佳实践中,您不会存储根令牌 - 一旦完成,it should be revoked。
根令牌在开发中非常有用,但应该非常有用 在生产中小心谨慎。 实际上,Vault团队建议 root标记仅用于足够的初始设置(通常, 设置允许管理员所需的身份验证方法和策略 获得更多有限的代币)或在紧急情况下,并被撤销 在他们不再需要之后立即。
如果是新的根令牌 需要,运营商generate-root命令和相关的API端点 可以用来动态生成一个。
开封密钥应该在受信任的人之间分发,没有人可以访问多个密钥。
然后,这需要多个人重新启动保险库或获得root权限。
文档没有为我能找到的单个密封密钥建议任何好的隐藏位置 - 我建议您通常存储密码的位置,即密码管理器。