HashiCorp Vault:秘密后端

时间:2017-07-13 11:22:56

标签: hashicorp-vault

我对某些hashicorp Vault概念感到有些困惑。我们打算使用IoC技术(流浪和terraform)创建基础架构。此外,我们正在使用厨师来配置机器。

我们正试图解决秘密分发问题。我们正在努力了解保险柜,但是,我们还有一些问题尚不清楚。

为什么我需要几个秘密后端?我只想传播凭证(mongo,elasticsearch,mysql),API令牌(AWS S3,Stripe)和CA证书。为什么我需要使用特殊的后端(databases secret backendAWS secret backend,...)

1 个答案:

答案 0 :(得分:2)

一般来说,保险库的整个目标是让秘密容易改变,轮换等等。因此,如果/当发生违规行为时,将所有内容重置为新的秘密是微不足道的。这就是为什么我们有不同的后端,比如postgres。每次您进入保险库并询问PG连接信息(即用户/通行证等)时,它都会为您创建,动态并将其转为自动过期等。

这种方法的好处很重要。一,只要他们需要,秘密就会持续下去。一旦程序停止运行(无论出于何种原因),秘密就应该消失。此外,每个程序都获得一个唯一的用户/通行证,因此如果存在违规行为,您确切知道哪个应用程序负责,您可以轻松地重新启动它(在新节点/实例上)并重新运行程序(使用新凭据,等等,然后你弄清楚违规行为是如何发生的,并确定违规行为。

Plus vault具有非常强大的审计跟踪,因此每个秘密访问,每个秘密生成等都以可靠,可验证的方式进行审计,这在您确实存在违规行为时非常好。

如果你需要这些功能,只有你可以弄明白。如果您不需要或刚刚开始,您可以使用通用秘密后端,只需将用户/传递存储在那里。