问题标签 [hashicorp-vault]

我开始使用保险库，当我在保险库中添加一个秘密时，我通过了租约 = 10 秒，但在 10 秒后，秘密没有被删除。我怎样才能从保险库中删除秘密？

我有几个标记为 AZ 的系统。我的问题是 Vault 是否可以根据我的每个系统 AZ 的请求生成密码，并允许用户仅查看特定系统（如系统 R）的密码？一个人需要能够登录到 Vault 并搜索该系统密码，以便他们可以输入它并开始工作。

背景：

我正在尝试启用一个需要 glibc 和 hashcorp vault 的插件，该插件在容器中运行。官方的 vault docker 镜像建立在 alpine 镜像 ( Dockerfile ) 之上。我想构建一个基于 debian 的图像，它没有与 hashcorp 实现匹配的“dumb-init”包。

hashcorp提供的 docker-entrypoint.sh 使用了 shebang ，解释#!/usr/bin/dumb-init /bin/sh如下：

根据tini 的维护者对这个问题的评论，

例如，它们 [dumb-init] 支持信号重写，而 Tini 不支持，但 Tini 支持子收割机，但它们不支持。不过，总的来说，如果您正在寻找僵尸收割，就是这样，两者都可以

（但也许这已经改变了......）

如果任何一个都可以，我更愿意将 shebang 更新为#!/bin/sh并将 init 处理留给在--initdocker 调用上使用标志。

问题：

vault 是否需要哑初始化的信号重写功能，还是docker 内置的 tini实现（从 Docker 1.13.0 开始）就足够了？

我有一个 Django 应用程序。我希望它从 Vault 中获取所有需要的秘密。
据我了解，我需要为此使用AppRole。

我创建了一个角色。但后来我需要使用hvac进行身份验证：

所以我手动获取role-idand secret-id，没关系。问题是我在哪里存储它们？

1. 我可以role-id简单地存储在我的 git reposettings.py文件中吗？
2. 我应该在哪里存放secret-id？

升级版：

实际上secret-id有它自己的TTL。那么当我重新启动我的应用程序时如何获取新的秘密 ID？

我正在创建一个快速而肮脏的 Go 应用程序来从 Vault 中提取应用程序机密，并使用 Vault 代码本身进行身份验证。作为其中的一部分，我从github.com/hashicorp/vault/builtin/credential/aws. 这一切都运作良好。

但是，在运行我的应用程序时，我注意到来自 Go“测试”模块的命令行标志出现在标志中。

这可以通过编译和运行以下示例脚本来重现：

调用二进制文件时，标志如下所示：

我是 Go 的新手，所以我完全有可能在这里做一些我不应该做的事情，但乍一看，将这个模块导入命令行工具似乎是合理的。

据我所见，模块中没有任何内容使用测试库（除了 backend_test.go），所以我对这些标志的出现方式有些困惑，特别是因为它们没有出现在 Vault 命令行中接口本身。

是否可以在不包含这些标志的情况下导入和使用 Vault 的 credential/aws 模块？或者在定义我自己的之前以某种方式清除测试标志？

我正在尝试找到一种方法来获取我进行的 API 调用的响应代码。

我正在连接到保管库服务器并尝试获取用户名和密码。但是我的要求发生了变化，现在我只想监控对我的 API 调用的 HTTP 响应。

我的代码是：

我试图寻找多种解决方案，但似乎没有一个是hvac具体的。

我可以使用requests.head，urllib.request.urlopen(url).getcode()但是我必须为此编写一段完整的单独代码，而不是能够重用该establishConnection(crt,key)函数。

知道如何仅修改apiCHeck()函数以获取响应代码吗？

I'm seeing this line the logs of my Vault instances:

At the same time request forwarding doesn't seem to be working because I'm getting 307 responses when I try to curl http://vault:8200/v1/secret/foo. This is a problem since the individual instances aren't accessible from outside my Kubernetes cluster, only way is to use the load balancer.

我在保管库服务器上配置了一个策略，仅用于从my/secret_key_path/here带注释的配置类 中读取密钥，@VaultPropertySource("my/secret_key_path/here")并且在启动时出现此错误，无法检索密钥的值：

编辑：仅在使用仅为读取该保管库端点而生成的令牌时才会出现问题。

我是 vault 的新手，目前正在尝试通过自签名证书启用客户端 tls 身份验证（全部在唯一的 CentOS 7 节点上）。

当然，首先我跑了：vault auth-enable cert

然后，我创建了一个policy.hcl包含以下内容的文件：

然后我做了以下事情：

生成客户端证书：

最后的动作：

这一切都在没有任何错误或警告的情况下执行。然后，我编写了一个简单的脚本，在使用 TLS 进行身份验证后必须只读取一个值：

但是当我运行它时，我收到以下错误：

服务器日志说：

非常感谢任何帮助

编辑：

为了澄清实际问题是什么，我想提一下，当我使用 CLI 对 Vault 进行身份验证时：

...它似乎工作得很好，因为我创建的策略正在附加，我可以从中读取数据secret/policy/test/foo，但 Python+HVAC 方法不起作用。

我正在尝试从用于存储机密的 Hashicorp Vault 工具中检索已删除的密钥。

我试图删除一个值，但它似乎删除了一个命名空间。