1

我需要在 EC2 实例中将 Hashicorp 保管库作为服务启动,从另一个 ec2 实例访问它,每次启动时都需要解封密钥。如何在 Ec2 实例的每次启动时自动解封密钥?

我参考了这个文档来启动服务,但如果没有不安全 (-k) 模式,我就无法访问它。

curl --header "X-Vault-Token: s.mhKWQGSf3ttFIEW5aTzs3CIY" http://127.0.0.1:8200/v1/kv/secret/mypath -k

我怎样才能做到这一点?

4

1 回答 1

1

在 EC2 上下文中管理解封的最简单和最安全的方法是利用 AWS KMS(密钥管理服务)并使用一个 KMS 托管的密钥来自动解封 Vault。

您可以在以下 2 个页面中了解更多信息:

第二个链接真正描述了seal "awskms"您需要在 Vault config.hcl 文件中设置的所有配置。只要您的 EC2 实例角色拥有一个 IAM 配置文件,它可以读取该 KMS 密钥,它就会变得自动且简单。

于 2021-04-09T20:41:19.573 回答