问题标签 [vault]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
google-cloud-platform - 使用 GCP 令牌、terraform 和 vault 创建项目时出现权限错误
我想使用 Vault 创建一个带有 terraform 的 GCP 项目以获取令牌。我已经配置了 GCP 机密引擎,我要求 terraform 中的 vault 获取令牌;但是当我运行 terraform 来创建项目时,我收到一条错误消息:
我认为问题出在保险库令牌的角色集绑定中,但我不知道我必须将哪个资源放入角色集中。
我尝试了这个resourcemanager.projectCreator
角色;但它总是问我项目名称。
我应该向所有组织授予权限吗?因为如果我想创建新项目,如果我将一个存在的项目作为资源,我将无法创建另一个项目。
谢谢!!
hcl - 如何从 403 响应中找出需要添加的策略?
我向我的 Hashicorp Vault 实例发送 HTTP 请求并收到 403 HTTP 响应。如何对需要从请求路径添加的策略进行反向工程?
vault - 保险柜内部组但 okta 身份验证
问题陈述:我想使用 okta (oidc) 对保险库用户进行身份验证,但希望在保险库级别再进行一级身份验证。
我已成功将 okta_group 与保管库组(外部)集成并为该组设置策略。
我工作得很好,例外。
我目前的 oidc cofig -
当用户登录时,保险柜会创建实体,但它不包含任何元数据,如(usernanem、email)等。我可以使用哪些设置在 oidc 配置中获取更多详细信息?
kubernetes - 不会过期的 Vault 令牌
我正在使用 Vault Kubernetes 身份验证方法对 Vault 进行身份验证服务,我想知道我是否可以使用此身份验证方法生成一个不会过期的令牌。
x509certificate - 使用 Vault 设置 Spinnaker 证书配置 (x.509)
我正在尝试Spinnaker
使用X.509 Certificate进行设置,并且我正在使用 AWS证书,该证书是我使用 Terraform 的vault_pki_secret_backend_roleVault
在我们的基础设施端设置的。
我需要提供证书Spinnaker
的Vault
路径,但不确定在哪里设置。下面是我目前为 Terraformhalyard
配置的X.509
.
如何设置Spinnaker
从Vault
证书路径读取以验证 CA 证书?
谢谢您的帮助!
ssh - 如何在运行 ansible-playbook 时发送公钥?
我正在研究使用授权 CA 对密钥进行签名的 vault-ssh 秘密引擎方法,您可以使用该签名证书向客户端进行身份验证,
您可以查看此链接:- https://www.vaultproject.io/docs/secrets/ssh/signed-ssh-certificates
我可以使用以下命令登录到客户端机器:-
ssh -i id_rsa -i signed-vault.crt test@client-ip
我需要对 ansible 做同样的事情,但我发现在 ansible 中无法随时随地发送公钥,或者在运行 ansible-playbook 命令时,您可以使用 --private-key 选项发送私钥.
因此,需要帮助是否有任何方法可以让我们随时随地发送公钥或任何解决方法。
如果需要更清楚地了解 Vault-ssh-setup,您可以查看此博客
https://brian-candler.medium.com/using-hashicorp-vault-as-an-ssh-certificate-authority-14d713673c9a
kubernetes - 使用 CSI 机密驱动程序提供的保险库机密作为 Kubernetes 中的环境变量
我正在阅读有关利用 CSI 机密驱动程序安装通过提供给 pod创建的机密的官方文档。hashicorp
vault
一旦完成大量设置/样板工作,秘密似乎最终通过如下方式提供给SecretProviderClass
工作负载:
根据上述相关评论:
“objectName”是 SecretProviderClass 中用于引用该特定秘密的别名。这也将是包含秘密的文件名。
我认为这意味着 egdbUsername
不会作为环境变量随时提供给相应的 pod。
有没有办法将这些变量(例如dbUsername
等username
)作为环境变量公开给k8s
应用程序?
我最好的假设(在进行 PoC 之前)是对所有文件的迭代采购/path/where/all/vault/secrets/are/mounted/database/creds/
可能会解决问题,但我想知道是否有更好的选择,因为目前大多数云应用程序都希望这些秘密作为环境变量,因此重构代码以读取文件并不是一种替代方法。
bitbucket - 如何将 Hashicorp Vault 与位桶集成
我想将凭证存储在 Vault 中,并希望将 Vault 与 Bit 存储桶集成。谁能指导我遵循的步骤/过程。
chef-infra - 使用 chef docker 资源在生产环境中设置 hashcorp vault
我正在尝试使用厨师食谱在生产中设置hashicorp Vault。这就是我在 recipes/default.rb 中的内容
配置文件看起来像这样
策略文件有
当我运行厨房融合时,它以开发服务器模式而不是生产模式启动 Vault。如果我取消注释 recipes/default.rb 中的 bash 脚本,Vault 会按照我的预期以生产模式启动。我的问题是如何使用 docker_container 资源让 Vault 在生产模式下启动,因为我不想为此使用 bash 脚本。
链接到厨师码头资源https://supermarket.chef.io/cookbooks/docker#docker_volume
python - 使用 keeper 指挥官获取 keeper 凭证
我正在使用 keepercommandar 模块,使用 python 使用主帐户、主密码和记录 Uid 从 keeper vault 获取用户名和密码。但我收到了这个错误
我一直在努力
谁能帮我这个?