问题标签 [vault]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
google-oauth - Vault OIDC with google,如何将角色限制为特定组
我安装了一个保管库并使用 gsuite 配置了 OIDC,这本身就已经是一种冒险,因为文档有限,甚至在多个地方都有错误。
最后,我对我的谷歌帐户进行了有效的身份验证,并开始创建角色,在那里我看到了一个巨大的问题。你如何限制谷歌用户使用角色。假设我创建了一个 gsuite-admin 角色,该角色可以访问所有保管库管理,任何在登录之前输入该角色的用户都可以担任该角色。
我尝试使用不同的声明,但这些声明似乎仅适用于保管库创建的组或其他事物。
有没有人有解决方案?
先感谢您。
编辑:
我使用的配置是 group 声明:
该配置仅提供任何人都不能再使用的角色锁定。据我所知,JWT 没有任何信息,这就是我们在 oidc 配置中使用带有 fetchgroup 选项的配置的原因。
cyber-ark - 如何从 CyberArk Vault 服务器获取 WSUS 服务器详细信息?
在路径计算机配置 -> 管理模板 -> Windows 组件 -> Windows 更新中检查时,我看不到 WSUS 的任何详细信息。请告诉检查 WSUS 服务器详细信息的其他方法在 此处输入图像描述
openshift - Consul HA ACL init 在 OpenShift 上失败
我尝试安装 Consul HA 以在 OpenShift 平台上配置我的 Vault HA。我首先使用 Consul Helm chart 安装它,我可以使用一些 SCC 为我的客户端和服务器 serviceAccounts 成功安装它。后来,我想通过这个 helm 部署带有 ACL init 的 consul,但我遇到了一个错误。
首先使用 helm 安装 consul:
然后我的豆荚很快就会出错:
我在描述 acl-init pod 时收到此错误:
我不知道发生了什么事。对此有任何想法吗?
micronaut - Micronaut 的自定义 Vault 配置
我正在尝试将 Micronaut 应用程序连接到 Vault,以在某些特定路径上获取一些特定的秘密。Vault Client 实现似乎没有满足我的需求。我知道我可以编写自己的 PropertySource 来从 Vault 中读取我需要的内容,但是这个新的 PropertySource 需要获取它自己的一些配置属性,例如获取 vault.uri 的值。
我的问题是,当 PropertySources 他们无权访问现有环境时,或者至少不能以我能看到的方式访问。
因此,问题是:我可以设置一个 PropertySource 以便它从环境中读取现有属性吗?或者我可以用完全不同的方式做到这一点吗?
azure - 无法使用 Azure 站点恢复连接到 SAP HANA 备份中的“AAD1”服务
我正在使用 SAP Hana 2.0 并尝试使用 Azure Recovery Vault 实施 SAP HANA 备份。
为此,我必须运行文件“msawb-plugin-config-com-sap-hana.sh”。所以它显示错误为无法连接 AAD1 服务。
任何人都知道这个问题。请解决。
hashicorp-vault - 当以“没有已知的秘密 ID”开头时,hashicorp 保险库代理模板失败
使用模板启动 Vault Agent:
失败并出现以下错误:
[错误] auth.handler:从方法获取路径或数据时出错:error="no known secret ID" backoff=2.438818298
重现问题的步骤:
政策:
客户端配置:
模板.ctmpl:
我认为秘密是存在的:
秘诀是kv v2:
kubernetes - 对保管库机密的访问被拒绝
我是 vault 的新手,并试图根据 pod 所在的 k8s 命名空间来保护数据。我已对身份验证部分进行了排序,但我无法创建一个 ACL 让客户端在不泄露所有机密的情况下读取机密
我使用的结构是secret/k8s/<k8s-namespace>/<appname>
例如secret/k8s/bex/app1
我已经尝试过这样的 ACL 策略,但没有secret/*我被拒绝访问,并且secret/*客户端可以看到所有内容,事件路径与bex.
我究竟做错了什么?
kubernetes - Kubernetes 上带有气流的 Vault
我将vault作为单独的服务安装,kubernetes 作为身份验证。我安装了 minikube 并在其上安装了气流。我也启用了 apache-airflow kubernetes。一旦我使用 kubernetes 启动气流,我想使用气流秘密后端将其连接到 vault,并使用kubernetes auth type将其连接到库。如何从气流中获取从 kubernetes 秘密登录返回的保险库令牌?
请提出任何方法或任何示例来实现这一目标。
java - 如何使用已生成的 AES 256 GCM 96 密钥(来自 Hashicorp Vault)加密数据?
我有一个表示对称密钥的字符串,它是通过使用 Hashicorp Vault 获得的(这实际上可能并不重要)。我需要这个密钥来加密大文件,所以我不能直接将文件发送到 Vault 要求它加密数据。我想在本地进行,所以我要求 Vault 为我创建一个对称密钥(通过使用 transit/datakey/plaintext/ 端点)。我现在有一个 44 字节长的对称密钥(及其密文),由 aes256_gcm96 算法生成。因此,据我所知,我的 32 字节密钥用 96 位(12 字节)gcm 块包装。现在我想用这个密钥来加密我的数据,但是密钥太长了,所以我需要以某种方式打开它或者调用一些函数来输入这样的密钥。我试图使用 Cipher 来加密我的数据。到目前为止,这就是我(错误地)所做的
调用init函数的时候,很明显是抛出异常:java.security.InvalidKeyException: The key must be 32 bytes
我可以做什么样的操作来获得一个有效的密钥?
谢谢你。
hashicorp-vault - 使用 VaultSharp 进行 Hashicorp Vault Kerberos 身份验证
我很难让 Kerberos Auth 使用 VaultSharp 与 Vault 一起工作。
我无法控制 Vault 服务器,但我被告知它已配置并可以使用。
我正在使用在 IIS 中运行的 .NET,并且我想使用 IIS 运行的服务帐户,这样我就不需要存储其他机密或用户/密码。
这是我正在使用的代码和错误:
我已经设法使用令牌身份验证以及通过 CLI 让它工作,但这并不是我想要的。
authMethod.Credentials.UserName/Domain两者都是空字符串。不知道在这种情况下是否应该填充它们,但文档指出它“默认使用网络凭据”
任何帮助表示赞赏。