我应该在哪里存储 HashiCorp Vault 的 Unseal Key 和 Root Token?
Vault 将被团队中的各个成员使用。
问问题
3774 次
1 回答
17
在最佳实践中,您不会存储根令牌 - 一旦完成,它应该被撤销。
根令牌在开发中很有用,但在生产中应该非常小心地保护。事实上,Vault 团队建议根令牌仅用于足够的初始设置(通常是设置允许管理员获取更多有限令牌所需的身份验证方法和策略)或在紧急情况下,并在不再使用后立即撤销需要。
如果需要新的根令牌,则可以使用 operator generate-root 命令和相关的 API 端点即时生成一个。
开封密钥应该分发给受信任的人,没有人可以访问超过一个。
然后,这需要不止一个人来重新启动保管库或获得对其的 root 访问权限。
该文档没有为我能找到的各个解封密钥建议任何好的隐藏位置 - 我建议您通常存储密码的任何地方,即密码管理器。
于 2016-09-26T12:18:23.347 回答