问题标签 [vault]

我想创建一个 ACL 策略，允许用户根据他们的userpass用户名创建、读取、更新等数据到秘密引擎。

例如，如果用户名是foo我想要的，以便他们可以访问secrets/foo/*我显然希望这是动态的，所以我不想创建多个策略来硬编码这些值。

但这仅在我手动向用户添加元数据而不是使用该用户的用户名时才有效。

如何使用模板来实现这一点？

我正在使用带有 kubernetes 的外部保险库，我希望我的所有秘密都在 pod env 或 kubernetes 秘密中。我试着用

但是当我执行 pod env 时，env 中没有秘密

pod 中路径 /vault/secrets/config 上的文件已存在。之后我有2个问题。为什么它不起作用，为什么我如何将它注入 kubernetes 秘密

我一直在按照本教程使用 helm 在 minikube 上设置 vault 和 kubernetes。

在我看来，保险库服务帐户正在使用默认服务帐户 JWT 令牌来访问 API 进行身份验证。Vault 服务帐户是否应该使用自己的令牌，而不是默认令牌？

以下是相关的配置步骤：

webapp pod 上的客户端（expressjs）读取挂载的令牌进行身份验证：

但是，/var/run/secrets/kubernetes.io/serviceaccount/tokenwebapp pod 上的令牌是默认服务帐户令牌，而不是保管库服务帐户令牌，对吗？

我在这里做错了吗？

网络部署.yaml：

我描述了保险库sa：

我描述了与这个 sa 相关的秘密：

但是当我将令牌放在我的 pod 上时，它与上面的不匹配：

豆荚yaml：

我正在通过 Jenkins 部署 Helm 图表。我们将所有凭据存储在 Vault 中。当我们手动运行 helm 命令时，我们首先运行此命令以从 vault 中提取我们的值并将它们存储在我们本地的 yaml 文件中：

命令来自：https ://github.com/boxboat/dockcmd

出于显而易见的原因，这是不安全的。当我在 Jenkins 中执行此操作时，它会将文件存储在工作区中。从 Vault 中提取值并将其部署在 Helm Chart 中的最佳方法是什么？我正在考虑使用不生成文件但在 kubenertes 中注入值的不同命令

尝试在 require 字段中导入 github.com/hashicorp/vault/api v1.3.0 时，我遇到了这个问题。

我已经看到了一些使用替换的解决方案，但都不确定。

任何帮助表示赞赏？

提前致谢。

说明 我正在使用 Hashicorp 的 Vault，版本 1.7.0，免费版。

我想允许用户可以分配/删除组的特定范围的策略。通过这种方式，他可以从 UI 向组中添加或删除实体用户。

我做了什么

波纹管被写入块整体策略文件。

问题是什么 让我们假设我有一个超级特权策略，可以访问整个秘密引擎。

从 UI 中，我可以将超级特权策略分配给该组，并且基本上允许受限用户将此超级策略分配给整个组。

当我扩展政策时：

只是限制从 UI 读取的策略。

使用 allowed_pa​​rameters 附加组路径，例如我们：

我收到一个权限被拒绝错误 (403)。附加拒绝参数：

不起作用，我仍然可以分配超级策略。

我还尝试了具有相同结果的通配符。

是否甚至可以限制可以从 Vault UI 分配的一个/一系列策略？

如果你到目前为止做到了，请提前致谢。

i use hashicorp-vault as single docker container with a postgres SQL database as storage and no consul. Everything works fine except if i want to backup and restore an SQL dump.

The problem is, that after i restore an SQL dump all my secrets are invaild for my different clients and i have no idea why. The only solution at the moment is, to remove the old secrets and get new ones with the token for the corresponding role.

Does anyone has expierence with SQL as vault storage and backup/restore ?

It doesn’t really matter if i dump a SQL file (not compressed postgres format) of the vault DB or the entire DB cluster, the problem occurs in both cases.

我正在使用保管库服务来保护我的秘密。为此，我需要在下一个构建和下一个开发命令之前运行保管库脚本（节点 fetch-vault-secrets.js）。 在此处输入图像描述 该 vault 命令运行一个包含 VAULT_SECRET_ID 和 ROLE_ID 的文件。 在此处输入图像描述 我正在通过 .env 文件访问这些机密，但在启动服务器之前未获取这些机密。我该如何解决这个问题？

我使用 hashcorp-vault 作为单个 docker 容器，使用 postgres SQL 数据库作为存储，没有领事。这里有没有人有经验备份和恢复我所有的保险库数据的最佳做法是什么？

我的第一个想法是转储库数据库并使用标准 postgres SQL 工具恢复它。但是这些快照机制 vault 提供了什么https://learn.hashicorp.com/tutorials/vault/sop-backup？

我仍然可以使用该方法创建 Vault 的快照吗？因为每次我尝试执行命令时vault operator raft snapshot save mysnapshot.snap都会收到以下错误消息：

当我尝试使用 CLI 登录 Vault 时：

我得到错误：Error authenticating: empty response from lookup-self

我可以使用令牌或 OIDC 通过 UI 登录。

vault read auth/token/lookup-self看起来不错。

设置与其他 CLI 工作的 Vault 设置相同，但我似乎无法确定错误在哪里。