问题标签 [spring-cloud-vault-config]

我运行本地保管库开发服务器（v0.10.1）并使用 Approle 作为身份验证方法。我创建了一个可更新的 MongoDB 秘密引擎，然后为创建的 Approle 分配一个策略，该策略将所有功能授予 path secret/bootstrap、secret/application和.database/creds/readwrite*sys/leases/*

使用spring-cloud-vault(v1.1.0)，它可以在启动后正确获取 MongoDB 的用户名/密码。但是当租约达到它的 ttl 并且 spring-cloud-vault 尝试更新它时，我得到了以下异常：

请问我可以知道我错过了什么吗？

更新：我将路径从sys/leases/*to更改为sys/*，然后似乎一切正常。因此，我仍然想知道该案例sys还需要哪些路径。sys/leases/*

我有一个带有VaultPropertySource类似于以下注释的配置类，它在可以访问 Vault 的环境中运行良好。

问题是某些部署将无法访问 Vault。在我的bootstrap.yml我已经设置spring.cloud.vault.enabled = false但我得到

应用程序无法启动 - 组件需要一个名为“vaultTemplate”但无法找到。

在这一点上，我可以注释掉VaultPropertySource它并且它有效。在没有 Vault 的情况下，我可以在这些环境中做什么而无需注释掉VaultPropertySource？

我正在尝试做一些我认为很简单的事情。我想使用Consul进行配置，使用Vault进行秘密。

我正在寻找的是一个像这样的简单应用程序，它允许我从 Consul 获取配置和服务，以及从 Vault 获取秘密。

在我的示例中，Consul 和 Vault 是连接的，我可以在 Consul 服务和键值存储中看到 Vault。

在 Postman 中，我可以直接查询 Vault 并在 {{vault_url}}/v1/secret/interservice-bus/data-categorizer 查看我的数据

现在我在测试应用程序中看不到 Consul 或 Vault 值。

我的 application.yml 很简单

bootstrap.yml 是我进行大部分配置的地方。其中一些是重复的，因为如果缺少不同的部分，Spring 会抱怨。我不确定为什么。

该令牌在上面被遮盖了，但与保管库的根令牌匹配。

这是我的 POM

这是我要运行的简单应用程序

它没有找到“测试”。我正在尝试从 Vault 中提取用户名和密码，并从 Consul 进行测试。

我越来越

我正在寻找的是一个像这样的简单应用程序，它允许我从 Consul 获取配置和服务，以及从 Vault 获取秘密。

通过在网上搜索和查看示例，我不清楚是否还需要引入 Vault 依赖项，或者我是否从 Consul 获取所有内容（因此不需要 Vault 依赖项）。

我们正在尝试使用保险库来保存数据库凭据，并通过 Spring Boot 应用程序使用令牌来获取机密。凭证保存在保险库的秘密后端。与应用程序和保险库的连接对 TLS 是安全的。这种秘密分发仍然是脆弱的，取决于开发人员的成熟度。一旦应用程序有权访问机密，它就可以登录到文件中。与传统的 JEE 应用程序不同，数据源是在资源 jndi 中查找的，而应用程序现在不再是数据库凭据。资源设置由运营团队完成，对凭证的访问受到限制。应用程序永远不会具有凭据可见性。

我的理解是否正确，如果是这样，我们如何在 Spring Boot 应用程序中使机密更安全，或者这是我们必须妥协的权衡。

我在我的bootstrap.yml文件中提到了 Spring Cloud Vault 配置

但我不想在我的 YML 文件中包含这些，而是​​希望将它们配置为 bean

@配置/@bean

请帮忙。谢谢

我正在使用 Spring Cloud Vault Library 从 Vault 服务器访问我的 Secret。

目前，我将所有参数（例如role-id、secret-id、host、port等）存储为环境变量，然后将其注入到我bootstrap.yml的 Spring-boot 应用程序中。下面是我的YAML文件

我被困的地方是管理保险柜的 Role-Id 和 Secret-Id。显然，如果人们可以轻松获得这两条信息，Vault 就无法保护我们的秘密——它们本身就是秘密。

Role-Id拥有和Secret-Id保护的行业最佳实践是什么？我们已经集思广益，例如storage-in-config-server、storage-in-environment-variable、storage-in-cloudfoundry-UPS ..

尽管如此，我们还是想了解这方面的最佳实践..

我们有一个 spring-boot 2 应用程序，它通过 DAO 连接到 db2 数据库。当前应用程序使用 application.properties 来存储凭据，如下所示：

我想将用户名和密码存储在 Hashicorp Vault 中，并在运行时使用 Spring Cloud Vault 设施检索它。

我已经从 Spring Guides 中检查了这个示例，但我不明白如何处理这些值，我从 Vault 中检索它们。如何将它们转换为 Spring Boot 在连接到我的 db2 数据源时使用的属性？

到目前为止，我正在使用保险库通过 curl 登录以获取新令牌。这按预期工作：

现在我想在 spring cloud 中使用以下 bootstrap.yml 做同样的事情：

但这不起作用，应用程序在启动时抛出以下异常：

我在使用时对占位符解析优先级有疑问consul-config，我使用此信息vault-config 创建了简单的应用程序

我的依赖是：

请注意，我没有使用服务发现。

执行下一步我创建了属性foo.prop = consul（在领事存储中）和foo.prop = vault.

使用时：

我得到vault的是输出，但是当我foo.prop从保管库中删除并重新启动应用程序时，我会得到consul.

我以不同的组合做了几次，似乎保险库配置比 consul 具有更高的优先级。

我的问题是在哪里可以找到有关解决策略的信息。（想象一下我们添加为第三个zookeeper-config）。似乎 spring-core 文档对此保持沉默。

我正在使用从 Vault 服务器spring-cloud-vault检索版本。kv当我使用environemnt.getSecret("key1")then 它只返回最新版本的 key 例如world2。有没有办法通过使用spring-cloud-vault库指定给定密钥的版本号来检索旧版本的秘密？

谢谢你的帮助。