我有一个带有 spring-cloud-starter-vault-config 依赖项的 Spring Boot 应用程序,所以我所有的秘密都被外部化了。我的应用程序使用带有预配置角色的 AWS IAM 身份验证:
cloud:
vault:
enabled: true
fail-fast: true
uri: http://vault.internal:8200
authentication: AWS_IAM
aws-iam:
role: vault_role_for_app
aws-path: aws
endpoint-uri: https://sts.amazonaws.com
此 Vault AWS 身份验证方法配置为在创建后 2 小时内删除令牌:
vault auth enable aws
vault write auth/aws/role/vault_role_for_app auth_type=iam \
bound_iam_principal_arn=arn:aws:iam::xxx:role/Launch-Role policies=vault_policy_for_app_to_read_secret max_ttl=2h
因此,在应用程序启动 2 小时后,我可以看到 Vault 令牌被删除:
17:20:45.835 [main] INFO org.eclipse.jetty.server.Server - Started @87308ms
***
19:20:20.616 [Spring-Cloud-Vault-1] INFO o.s.v.a.LifecycleAwareSessionManager - Renewing token
19:20:20.675 [Spring-Cloud-Vault-1] INFO o.s.v.a.LifecycleAwareSessionManager - Token TTL exceeded validity TTL thre
shold. Dropping token.
令牌被删除后应用程序仍然有效,但为什么呢?为什么我在应用程序日志中看不到新令牌的创建?