我试图了解人类,服务和秘密商店之间的互动。我一直在关注HashiCorp Vault文档和教程,以便更好地理解。我使用的是Vault而不是更加繁琐的秘密商店'下面:
用例是指服务需要访问Vault以获取密钥(例如数据库连接字符串)。看起来像使用凭据访问Vault配置服务的人也会知道这些凭据,并且可以随时冒充该服务。
另一方面,如果Vault也是服务的身份提供者,它可以提供在服务初始化期间使用的一次性初始凭证。然后,这些被旋转出来。此时,人们无法冒充他们在正常操作期间设置的服务。
但是,我还没有在文档中读到这个用例,所以我很困惑。
为了增加清晰度,我明白最终必须有人信任。例如,操作工程师可以使用拥有凭据来访问Vault并获取同一数据库的密码。这将允许用户访问,但不允许该用户模拟该服务。有没有理由说操作工程师在初始化后还应该知道服务自己的凭据来访问Vault?
答案 0 :(得分:1)
Vault支持为多个服务(主要是数据库)创建一次性使用凭据 - 请参阅文档的Secret Backend部分。
mysql后端包括以下描述:
此外,它引入了一项新功能:每个服务都使用唯一凭据访问数据库,当发现可疑数据访问时,它使审计变得更加容易:您可以根据SQL用户名将其跟踪到特定的服务实例