Vault是HashiCorp开发的一种工具,用于安全机密管理,集中密钥管理和简单的数据加密API
无法在 springboot 应用程序中从 Vault 注入机密
application.yml: 春天: 应用: 名称:我的服务 简介: 活跃:开发 云: 保险库: 启用:真 命名空间:${VAULT_NAMESPACE} uri:https://vault.my.org...
我正在从 Azure Vault 获取数据库凭据,并且我想从应用程序设置数据库凭据。从 Azure 保管库获取数据库凭据后,我尝试使用以下命令进行设置...
使用 kubernetes auth 登录 Vault - 权限被拒绝
我尝试使用 kubernetes auth 登录保管库,但权限被拒绝。 创建服务帐户 test-cloud 猫 < 我尝试使用 kubernetes auth 登录保管库,但权限被拒绝。 创建服务帐户test-cloud cat <<EOF | k create -f - --- apiVersion: v1 kind: ServiceAccount metadata: name: test-cloud --- apiVersion: v1 kind: Secret metadata: name: test-cloud annotations: kubernetes.io/service-account.name: test-cloud type: kubernetes.io/service-account-token EOF 创建服务帐户Vault-auth cat <<EOF | kubectl create -f - --- apiVersion: v1 kind: ServiceAccount metadata: name: vault-auth --- apiVersion: v1 kind: Secret metadata: name: vault-auth annotations: kubernetes.io/service-account.name: vault-auth type: kubernetes.io/service-account-token --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: role-tokenreview-binding roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: system:auth-delegator subjects: - kind: ServiceAccount name: vault-auth namespace: default EOF 之后,我导出创建 auth kubernetes 所需的所有 var export TOKEN_REVIEW_JWT=$(k get secret vault-auth -o go-template='{{ .data.token }}' | base64 --decode) export KUBE_CA_CERT=$(k config view --raw --minify --flatten -o jsonpath='{.clusters[].cluster.certificate-authority-data}' | base64 --decode) export KUBE_HOST=$(k config view --raw --minify --flatten --output='jsonpath={.clusters[].cluster.server}') export SA_NAME=$(kubectl get --all-namespaces serviceaccount -o json | jq -r '.items[].metadata | select(.name|startswith("vault-")).name') vault read auth/kubernetes/config Key Value --- ----- disable_iss_validation true disable_local_ca_jwt true issuer https://kubernetes.default.svc.cluster.local kubernetes_ca_cert -----BEGIN CERTIFICATE----- MIIBeTCCAR+ -----END CERTIFICATE----- kubernetes_host https://kubectl-toto.com pem_keys [] token_reviewer_jwt_set true use_annotations_as_alias_metadata false vault policy write devwebapp - <<EOF path "secret/data/devwebapp/config" { capabilities = ["read"] } EOF TOKEN_REVIEW_SJWT=$(kubectl get secret test-cloud -o go-template='{{ .data.token }}' | base64 --decode) curl --request POST \ --data '{"jwt": "'$TOKEN_REVIEW_SJWT'", "role": "devweb-app"}' \ $VAULT_ADDR/v1/auth/kubernetes/login -k {“错误”:[“权限被拒绝”]} 我创建了策略和服务帐户并创建了 kubernetes 身份验证,但是当我尝试使用 kubernetes 进行身份验证时,权限被拒绝。 我没有更多日志来查看问题出在哪里。 在kubernetes auth方法中出现权限被拒绝的错误通常是由于以下原因造成的: 用于对 Vault 进行身份验证的 JWT 绑定了登录时指定的不正确角色。为服务帐户指定的角色可能是错误的。 k8s登录时使用的应用服务可能配置不正确。 配置了 k8s auth 的服务帐户没有与其关联的集群角色的正确绑定。 与策略关联的保管库中的角色可能无法获得保管库端请求的路径所需的访问权限。 按照本 Hashi Corp 第 1 条和第 2 条排查并解决权限被拒绝的问题 “配置 Kubernetes Auth 方法时,请包含此参数 token_reviewer_jwt 并提供有权访问 Kubernetes TokenReview API 的服务帐户 JWT,以在登录期间验证其他 JWT。如果未设置此参数,则在 Kubernetes pod 中运行 Vault 时将使用本地服务帐户令牌,或者,如果 Vault 位于 Kubernetes 外部,则将使用登录负载中提交的 JWT 来访问 Kubernetes TokenReview API。 通过向 Kubernetes Auth 方法配置中的 token_reviewer_jwt 参数提供正确的服务帐户 JWT,身份验证请求将会成功。” 启用保管库审核日志以了解有关身份验证的更多信息。请参阅保管库的doc以启用审核日志
我正在将气流 1.10.10 与 Vault 一起使用,并且我正在尝试检索存储在 Vault 中的变量。我能够检索连接,但不能检索变量。 气流配置文件包含: 气流.cfg [
Hashicorp 金库 - 从一个金库导出密钥,导入另一个金库
我想从一个保管库导出一把密钥,然后将其导入另一个保管库。 感觉应该有一种简单的方法可以从命令行执行此操作,但我没有看到一种抽象的简单方法来执行此操作,
HashiCorp Vault 用于填充 kubernetes 秘密
最近了解了HashiCorp Vault以及它与Kubernetes结合的用法。我发现了两篇非常棒的博客文章,介绍如何使用 HashiCorp Vault 通过使用
helm 升级失败,原因是“值类型错误;预期的 map[string] 接口 {};获取了接口{}”
我正在尝试使用以下代码定义“VaultStaticSecret”模板: api版本:secrets.hashicorp.com/v1beta1 种类:VaultStaticSecret 元数据: 名称:abc 命名空间:abc 规格: ...
在 EC2 上运行 Hashicorp Vault 时,我可以安装 CloudWatch 代理并将日志发送到 CloudWatch,以便针对特定事件创建警报和通知。 然而,跑步时...
在Vault文档(https://developer.hashicorp.com/vault/docs/agent-and-proxy/agent)中提到Vault代理的一项功能是自动身份验证(自动对Vault进行身份验证并管理...
我将此 Vault docker 映像用于我的本地测试环境。但它仅将所有秘密存储在内存中。因此,如果我重新启动计算机,那么我所有的测试秘密都会消失,我将重新创建它们
如何使用 terraform 的保管库提供程序将元数据添加到应用程序实体
我需要向approle实体添加元数据,因为与approle关联的策略路径基于实体元数据。我试图实现的基本上是执行此命令库写入身份/实体/i...
我是 hashiccorpVault 和 terraform 的新手。尝试在保险库中创建一个秘密,其中路径 kv/data/pipeline/synapse-cdo/uat/ 中已经有一个名为 UAT 的秘密,并且想要再添加一个...
我可以使用JWT auth方法并获取令牌: 导出 VAULT_TOKEN=\ $(vault write -field=token auth/jwt/login role=$my_role_name jwt=$CI_JOB_JWT) 我还可以使用Vault kv获取变量源...
HASHICORP VAULT:如何从文件中读取多个项目并将其写入 Vault
我能够从 json 文件将值写入 Vault: # 猫的秘密.json {“值”:“bGktzwatc”} {“值”:“AGktzwatB”} 在尝试通过读取 json 文件来创建新值时,Vault
我已经阅读了 hashicorpVault Agent 注释的文档,但无法清楚地理解Vault-Agent-Status注释的重要性? 这是否意味着如果值“
按照我尝试使用的 hash-vault-js 节点包的文档,我应该能够使用以下命令从响应中获取令牌: const token =等待vault.loginWithAppRole(RoleId, Secret...
我们的应用程序使用的所有秘密都存储在 Vault 中。在部署过程中,我们利用内部工具从 Vault 检索机密并将其加载到 Pod 上。现在,我们有一个秘密...
mkdir:无法创建目录'/consul/extra-config:Openshift 4.6 上的 Pod 权限被拒绝
使用 consul 安装 Hashicorp Vault 后,我收到错误权限被拒绝。 尝试过 oc adm 策略 add-scc-to-user -z 服务帐户 -n 命名空间特权 OC 命令 w...
通过 terraform 在 ECS 服务中设置保管库代理 sidecar 以传递存储在保管库中的环境变量
正如标题所示,我正在尝试在 AWS ECS 上部署的服务上设置保管库代理 sidecar。 我想将服务环境变量存储在保管库中,并使用保管库生成证书...
我不明白秘密列表是如何工作的。 我有路径许可的策略。 路径“sys/mounts/*”{ 功能 = [“创建”、“读取”、“更新”、“删除”、“列表”、“sudo”] } 我可以运行启用并迪...