当我启用HashiCorp Vault机密引擎时,例如kv并添加一个秘密,可以跨Vault用户访问吗?

时间:2020-07-21 20:25:15

标签: security hashicorp-vault

当我启用HashiCorp Vault机密引擎时,例如kv并添加一个秘密,这可以在Vault用户之间访问吗?如果我将秘密引擎添加为root用户,添加到HashiCorp Vault的所有用户都可以访问该秘密引擎吗?

我的想法似乎打败了Vault的目的,但是我试图弄清一个想法,如果用户创建了一个秘密并将其嵌入到应用程序中,并且该员工离开了公司。

1 个答案:

答案 0 :(得分:1)

当我启用HashiCorp Vault机密引擎时,例如kv并添加一个秘密,这可以在Vault用户之间访问吗?

每个用户都具有附加的权限,这些权限称为策略。如果这些权限允许访问,则用户有权访问。

您可能想查看https://www.vaultproject.io/docs/concepts/policies的官方文档

如果我将密码引擎添加为root用户,添加到HashiCorp Vault的所有用户都可以访问该秘密引擎吗?

谁创建秘密都没有关系(提示:除了初始设置外,不建议将root用于其他用途)。

举个例子,您可以让用户创建秘密

path "kv/foo" {
  capabilities = ["create"]
}

和只能使用它们的用户,例如

path "kv/foo" {
  capabilities = ["read"]
}
相关问题
最新问题