我正在寻找一种更好的秘密轮换解决方案,并且发现Vault动态秘密是一个很好的解决方案。通过启用秘密引擎(例如对数据库),应用程序/服务可以租用动态秘密。
每次应用程序租用数据库机密时,我都注意到Vault在数据库中创建一个新用户/帐户。我了解,每个应用程序/服务都必须是一个好公民,并按照租用时间使用秘密。但是,在微服务环境中,实现错误可能会导致服务请求过多的动态机密,从而触发在数据库中创建太多帐户。
有什么方法可以防止创建太多帐户?我只是担心太多的帐户可能会导致数据库出现问题。
答案 0 :(得分:2)
您可以关闭静态角色,该角色将使用固定的用户名创建一个角色,然后Vault仅在需要旋转密码时才旋转该密码。
这里有一些文档可以帮助您入门
https://www.vaultproject.io/api/secret/databases#create-static-role https://www.vaultproject.io/docs/secrets/databases#static-roles
此外,来自网站的警告:
目前,并非所有的数据库类型都支持静态角色。请 请查阅左侧导航栏中的特定数据库文档,或者 下表在“数据库功能”下查看给定的数据库 后端支持静态角色。