1

我开始使用保险库,当我在保险库中添加一个秘密时,我通过了租约 = 10 秒,但在 10 秒后,秘密没有被删除。我怎样才能从保险库中删除秘密?

vault write -address=http://localhost:8200 secret/foo name=foo lease=10s
Success! Data written to: secret/foo

vault read -address=http://localhost:8200 -format=json secret/foo
{
        "request_id": "498db605-a238-2d99-2e36-7045c826f48d",
        "lease_id": "",
        "lease_duration": 10,
        "renewable": false,
        "data": {
                "lease": "10s",
                "name": "foo"
        },
        "warnings": null
}
4

1 回答 1

2

KV 秘密后端上秘密的 TTL 它实际上并不是用于删除秘密,它更像是检索秘密的任何咨询领域:https://www.vaultproject.io/docs/secrets/kv/index。 html#ttls

与其他秘密引擎不同,KV 秘密引擎不强制 TTL 过期。相反,lease_duration 提示消费者应该多久检查一次新值。这通常显示为 refresh_interval 而不是 lease_duration 以在输出中阐明这一点。

即使设置 ttl,秘密引擎也不会自行删除数据。ttl 键只是建议性的。

只要令牌过期,您就可以使用 cubbyhole 对某种秘密强制执行 TTL,cubbyhole 将被销毁。每个 cubbyhole 仅限于使用它的令牌,但是没有 2 个令牌可以访问彼此的 cubbyhole:https ://www.vaultproject.io/docs/secrets/cubbyhole/index.html

于 2018-02-08T04:52:35.983 回答