我需要在 EC2 实例中将 Hashicorp 保险库作为服务启动,从另一个 ec2 实例访问它,它需要在每次启动时解封密钥。如何在 Ec2 实例每次启动时自动解封密钥?
我引用此 doc 来启动服务,但没有不安全 (-k) 模式我无法访问它。
curl --header "X-Vault-Token: s.mhKWQGSf3ttFIEW5aTzs3CIY" http://127.0.0.1:8200/v1/kv/secret/mypath -k
我怎样才能做到这一点?
答案 0 :(得分:1)
在 EC2 上下文中管理解封的最简单、最安全的方法是利用 AWS KMS(密钥管理服务)并使用一个 KMS 管理的密钥来自动解封 Vault。
您可以在这两个页面中了解更多信息:
第二个链接真正描述了您需要在 Vault config.hcl 文件中设置的所有 seal "awskms"
配置。一旦您的 EC2 实例角色拥有一个 IAM 配置文件,让它可以读取该 KMS 密钥,它就会变得自动且简单。