问题标签 [vault]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
187 浏览

terraform - 如何使用 terraform 的 Vault 提供程序将元数据添加到批准实体

我需要将元数据添加到 approle 实体,因为与 approle 关联的策略路径基于实体元数据。我试图实现的基本上是vault write identity/entity/id/<entity_id>/ metadata=stage=test使用 terraform 的 Vault 提供程序来执行此命令。有谁知道这是怎么做到的吗?

0 投票
1 回答
132 浏览

consul - 使用 helm 在同一个 pod 中部署 Vault 和 consul 代理

我计划使用 Vault Service 作为 HA 和 Consul Backend 和 TLS,同时为 consul 和 vault 使用 helm 部署。

我已经在我的 EKS 集群中使用 helm 部署部署了 consul。这会将 consul 客户端部署为 daemonset 并将 consul 服务器部署为 pod 当使用 helm 部署 vault 时,我的 vault 服务器必须与 consul 客户端而不是 consul 服务器进行交互。我面临的挑战是我无法在下面的保险库配置文件中提供存储领事地址作为 127.0.0.1:8501 因为保险库作为单独的 pod 运行,而领事客户端作为单独的 pod 运行。如此不同的ips。

我还使用 HOST_IP:8501 对其进行了调整,但它抛出错误 [WARN] storage migration check error: error="Get "https://10.15.0.7:8501/v1/kv/vault/core/migration": x509 :由未知机构签署的证书”

这是因为 TLS 证书应该包含 IP 地址的主题备用名称 (SAN),当然,它应该由您作为 ca_file 参数的一部分包含在 Consul 中的受信任 CA 签名。但是在我的领事舵图配置中,我使用的是 enableAutoEncrypt: true。所以我不能使用自定义证书。

如果我在同一个吊舱中部署保险库和领事,这将解决。在 vault helm chart 配置中,我找不到 consulAgent 配置以便将 vault 和 consul 代理一起部署。请帮忙,让我知道如何解决这个问题

0 投票
1 回答
205 浏览

c# - 在 VaultSharp 库中,设置 VAULT_CACERT 环境变量的等价物是什么?

我收到错误使用 C# 中的 VaultSharp 库从 Vault 服务请求机密时发送请求时出错。我可以从命令行获取我需要的访问令牌,因此我知道 Vault 地址和我的个人 Vault 令牌工作。

CLI 依赖于环境变量 VAULT_ADDR、VAULT_TOKEN 和 VAULT_CACERT。我看到 VaultSharpVaultClientSettings使用前两个创建对象:地址和令牌信息——但我可以在 VaultSharp 的哪个位置指定 CA 证书路径?

这是我正在使用的代码,从https://github.com/rajanadar/VaultSharp/blob/master/README.md复制:

正是这最后一条语句ReadSecretAsync引发了错误。

非常感谢您的帮助!

0 投票
0 回答
93 浏览

ansible - 如何通过脚本标签将 ansible Vault 密码从 playbook 传递到脚本中

如何通过脚本标签将 ansible Vault 密码从 playbook 传递到脚本中。我有一个用例,我需要解密我的 python 脚本中的一个文件,该文件将通过“脚本”标签调用。我的剧本将被 vault-password-file 调用

0 投票
0 回答
45 浏览

passwords - 如何从 ask-vault-pass 获取密码作为事实以在剧本中使用它

有没有办法在剧本中使用 ask-vault-pass 中给出的密码。例如,假设我将 test123 作为保管库密码,并且 ask-vault-pass 保存在名为“ANSIBLE_VAULT_PASSWORD”的事实中:

前任:

myplaybook.yml:

输出应该是这样的:

问题是:是否有像 ANSIBLE_VAULT_PASSWORD 这样的事实来存储使用 ask-vault-pass 或任何其他方式获取的密码?

0 投票
0 回答
48 浏览

nginx - 使用 NGINX 等 TLS 代理的 MinIO KES 的 HA 问题

我已经成功安装了一个没有 Vault 支持的代理的 MinIO KES 服务器。它也适用于 MinIO S3 服务器,所有放入 MinIO S3 的对象都将自动加密。我得到了 MinIO 静态加密。现在,我想用 NGINX 之类的 TLS 代理制作 MinIO KES HA。但我有错误。

我的 KES 配置如下所示:

这样,KES 服务器就可以在每个 KES 节点上运行。

与我的没有 NGINX 的单个 KES 的配置的区别是,tls.proxy已添加。

而且,我使用 Let's Encrypt 为我的 NGINX 生成了证书:

最后,NGINX 已经使用以下配置运行。

要通过 TLS NGINX 测试 KES,我运行了以下命令:

我得到了错误:

没有从 KES 服务器和 NGINX 错误日志打印的错误。

当我尝试在没有 NGINX 的情况下直接测试单个 KES 服务器时,我得到了正确的响应:

我暂时还没有找到关于如何配置 NGINX 来代理 MinIO KES 服务器的官方指南。任何想法?

0 投票
0 回答
97 浏览

java - 将 Vault 与 Spring Cloud 数据流一起使用

我想问你可以在 Kubernetes 上使用 Vault 和 SCDF 服务器吗?我尝试使用它,但我无法将保险库中的机密设置为 SCDF 服务器的环境变量。

https://www.vaultproject.io/docs/platform/k8s/injector/examples#environment-variable-example

在我的 k8s 部署设置下面:

当我尝试

env var 已加载,但 SCDF 服务器未启动我想这是因为默认入口点已被覆盖。

0 投票
0 回答
31 浏览

spring-cloud-config - Spring Cloud Config 无法从 HTTPS Keycloak 读取机密

我正面临 Spring Cloud Config 的奇怪行为。spring.config.import: vault://secret/${spring.application.name}当保管库服务器的位置在本地主机中时,我可以加载配置,例如http://localhost:8383。但是,不是在使用公共 HTTPS 时。

HTTPS SSL 证书没有问题,因为 curl 命令可以读取密封状态(-k命令中不需要。所以证书很好)。我也使用SPRING_CLOUD_VAULT_FAIL_FAST: "true"所以我会立即知道连接是否错误(我在错误的配置上做了)。

配置不会像使用 http localhost 时那样加载。也没有提到错误。使用 Vault 客户端从另一台机器访问机密是可行的。所以,没问题。

我在这里做错了什么?

仅供参考,springboot 应用程序在基于 java:8-jdk-alpine 的 docker 容器中运行

0 投票
0 回答
44 浏览

azure - 将 azure 密钥保管库的访问权限限制为仅保管库所有者

有没有办法创建一个只有保管库创建者才能访问的 azure 密钥保管库,并且他希望向其授予访问权限,无论是个人还是应用程序,并且 Azure 订阅管理员或分层用户无法访问上级内订阅金库所有者?

在这种情况下,除了保管库创建者之外的任何人都可以访问和管理密钥保管库,订阅管理员最多只能删除保管库。

0 投票
0 回答
21 浏览

virtual-machine - 如何将安全令牌移交给虚拟机?

我在计算机上安装了一个 hashcorp 保险库。此外,计算机上有几个虚拟机应该从保管库中获取机密信息。为此所需的令牌应每 x 分钟轮换一次。

我应该如何从主机开始,在令牌到期时自动将令牌带入虚拟机?这里有什么最佳实践吗?虚拟软盘设备在这里交换是一个很好的解决方案吗?这里是否有与容器上的边车类似的机制?

网络接口(虚拟机)的 IP 不固定。