问题标签 [hashicorp-vault]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
hashicorp-vault - 租用时间后删除机密
我开始使用保险库,当我在保险库中添加一个秘密时,我通过了租约 = 10 秒,但在 10 秒后,秘密没有被删除。我怎样才能从保险库中删除秘密?
hashicorp-vault - HashiCorp Vault 是否可以提供滚动密码并保留副本,以便人们可以获取特定密码
我有几个标记为 AZ 的系统。我的问题是 Vault 是否可以根据我的每个系统 AZ 的请求生成密码,并允许用户仅查看特定系统(如系统 R)的密码?一个人需要能够登录到 Vault 并搜索该系统密码,以便他们可以输入它并开始工作。
docker - vault 是否需要dumb-init 的信号重写功能,或者docker 内置的tini 实现就足够了?
背景:
我正在尝试启用一个需要 glibc 和 hashcorp vault 的插件,该插件在容器中运行。官方的 vault docker 镜像建立在 alpine 镜像 ( Dockerfile ) 之上。我想构建一个基于 debian 的图像,它没有与 hashcorp 实现匹配的“dumb-init”包。
hashcorp提供的 docker-entrypoint.sh 使用了 shebang ,解释#!/usr/bin/dumb-init /bin/sh
如下:
根据tini 的维护者对这个问题的评论,
例如,它们 [dumb-init] 支持信号重写,而 Tini 不支持,但 Tini 支持子收割机,但它们不支持。不过,总的来说,如果您正在寻找僵尸收割,就是这样,两者都可以
(但也许这已经改变了......)
如果任何一个都可以,我更愿意将 shebang 更新为#!/bin/sh
并将 init 处理留给在--init
docker 调用上使用标志。
问题:
vault 是否需要哑初始化的信号重写功能,还是docker 内置的 tini实现(从 Docker 1.13.0 开始)就足够了?
go - 导入 Vault/builtin/credential/aws 将测试标志添加到命令行应用程序
我正在创建一个快速而肮脏的 Go 应用程序来从 Vault 中提取应用程序机密,并使用 Vault 代码本身进行身份验证。作为其中的一部分,我从github.com/hashicorp/vault/builtin/credential/aws
. 这一切都运作良好。
但是,在运行我的应用程序时,我注意到来自 Go“测试”模块的命令行标志出现在标志中。
这可以通过编译和运行以下示例脚本来重现:
调用二进制文件时,标志如下所示:
我是 Go 的新手,所以我完全有可能在这里做一些我不应该做的事情,但乍一看,将这个模块导入命令行工具似乎是合理的。
据我所见,模块中没有任何内容使用测试库(除了 backend_test.go),所以我对这些标志的出现方式有些困惑,特别是因为它们没有出现在 Vault 命令行中接口本身。
是否可以在不包含这些标志的情况下导入和使用 Vault 的 credential/aws 模块?或者在定义我自己的之前以某种方式清除测试标志?
python - 使用 hvac 获取响应代码
我正在尝试找到一种方法来获取我进行的 API 调用的响应代码。
我正在连接到保管库服务器并尝试获取用户名和密码。但是我的要求发生了变化,现在我只想监控对我的 API 调用的 HTTP 响应。
我的代码是:
我试图寻找多种解决方案,但似乎没有一个是hvac
具体的。
我可以使用requests.head
,urllib.request.urlopen(url).getcode()
但是我必须为此编写一段完整的单独代码,而不是能够重用该establishConnection(crt,key)
函数。
知道如何仅修改apiCHeck()
函数以获取响应代码吗?
hashicorp-vault - http/handleRequestForwarding: error forwarding request: error=error during forwarding RPC request errors in Vault logs
I'm seeing this line the logs of my Vault instances:
At the same time request forwarding doesn't seem to be working because I'm getting 307
responses when I try to curl http://vault:8200/v1/secret/foo
. This is a problem since the individual instances aren't accessible from outside my Kubernetes cluster, only way is to use the load balancer.
spring-boot - 如何在 spring Vault 1.1.1 中指定策略?
我在保管库服务器上配置了一个策略,仅用于从my/secret_key_path/here
带注释的配置类 中读取密钥,@VaultPropertySource("my/secret_key_path/here")
并且在启动时出现此错误,无法检索密钥的值:
编辑:仅在使用仅为读取该保管库端点而生成的令牌时才会出现问题。
python - 使用 tls 进行身份验证时,保险柜返回 CERTIFICATE_VERIFY_ERROR
我是 vault 的新手,目前正在尝试通过自签名证书启用客户端 tls 身份验证(全部在唯一的 CentOS 7 节点上)。
当然,首先我跑了:vault auth-enable cert
然后,我创建了一个policy.hcl
包含以下内容的文件:
然后我做了以下事情:
生成客户端证书:
最后的动作:
这一切都在没有任何错误或警告的情况下执行。然后,我编写了一个简单的脚本,在使用 TLS 进行身份验证后必须只读取一个值:
但是当我运行它时,我收到以下错误:
服务器日志说:
非常感谢任何帮助
编辑:
为了澄清实际问题是什么,我想提一下,当我使用 CLI 对 Vault 进行身份验证时:
...它似乎工作得很好,因为我创建的策略正在附加,我可以从中读取数据secret/policy/test/foo
,但 Python+HVAC 方法不起作用。
hashicorp-vault - Hashicorp Vault - 可以找回已删除的密钥吗?
我正在尝试从用于存储机密的 Hashicorp Vault 工具中检索已删除的密钥。
我试图删除一个值,但它似乎删除了一个命名空间。