7

我已经使用 HashiCorp Vault 六个月了,我的所有秘密都来自配置服务。我正在使用spring.cloud.config.token连接我的所有客户端服务,但是当保管库令牌每 30 天左右过期时,问题就出现了。对于较低的环境,令牌到期是可以接受的,因为我们可以一次又一次地重新部署,但生产,我们不能重新部署。因此,决定使用 AWS IAM 角色,可以连接到保险库并且不会有任何过期。

我已关注此官方 链接,但在启动应用程序时遇到以下问题。

在此处输入图像描述

我已经用谷歌搜索了它,但没有得到有效的解决方案。

我在客户端服务(my-client-service)的 bootstrap.yml 文件中使用以下代码

引导程序.yml

spring:
  application:
    name: my-client-service
  cloud:
    config:
      enabled: true
      uri:  'https://localhost:8080' 
    vault:
      enabled: true
      uri: 'https://localhost:8090'
      port: 443
      scheme: https
      namespace: 'vault-namespace/aus'
      authentication: AWS_IAM
      fail-fast: true
      aws-iam:
        role: aus-vault-role
        aws-path: aws
      generic:
        enabled: true
        backend: kv
        profile-separator: '/'
        default-context: my-client-service
        application-name: my-client-service
      config:
        order: -1000

到 AWS 的保险柜身份验证 ARN

vault write auth/aws/config/sts/<account_number> sts_role=arn:aws:iam::<account_number>:role/role_name

将 ARN 与保险库策略相关联

我为同一个账户创建了一个 IAM 角色,该账户映射了一个保管库角色和策略,并将每个 IAM 角色映射到一个保管库角色和策略。

vault write auth/aws/role/<Vault Role> auth_type=iam \
              bound_iam_principal_arn=<Your AWS Role ARN> policies=<Vault policy list> max_ttl=500h

我错过了什么吗?如果我能找到这个问题的任何解决方案,那就太好了。提前致谢!

4

2 回答 2

4

在使用以下配置更新我的保管库策略后,我修复了此问题:

path "kv/*"
{
  capabilities = [ "read", "list"]
}

我能够通过获取保险库属性来启动我的应用程序。

于 2020-06-26T13:01:25.383 回答
2

我认为您的政策更新很恰当:

path "kv/*"
{
  capabilities = [ "read", "list"]
}

将其指向您的秘密的正确路径将解决您的问题。

于 2020-06-29T05:30:24.710 回答