Hashicorp 金库中的秘密 ID 和客户端令牌轮换

Question

我正在使用 approle 身份验证类型，它接受 role-id 和 secret-id 以及 root token 中的header 来生成一个客户端令牌，它可以进一步用作 header 中的auth token来创建和检索机密。我猜这就是使用 Spring Cloud Vault 时内部发生的情况。如果我错了请纠正我。

现在，我需要每 30 天轮换一次秘密 ID，每 24 小时轮换一次客户端令牌。我该如何实现这一目标？ spring cloud Vault 是否提供内置库来执行此操作？如果不是我应该在哪里进行更改？

Answer 1

您需要执行与 vault write -f auth/approle/role/my-role/secret-id 等效的操作来获取新的秘密 ID。你这样做的地方就变得有趣了...

我假设你已经有一个 Vault 策略，允许你 生成一个新的secret_id。确保 role_name 参数固定为您的应用程序当前角色。您很可能也想限制元数据。

我建议采用这种模式：

1. 某些东西（某种管道或预定作业）创建新的秘密 ID。如果它是包装好的并且是一次性的，那就加分了，但我们把它留到另一个问题吧。
2. 该东西会将秘密 ID 存储在安全的地方。可能位于应用程序可以读取的 Vault KV 版本 2 存储中。
3. 创建新的秘密 ID 后，该东西会列出秘密并保留 N 个最新的秘密 ID。说最后的 5。这使得进程异步并允许运行的应用程序继续运行。

现在，在您的应用程序中，您必须有一个定期任务来查找最新的秘密 ID 并使用它重新向 Vault 进行身份验证。

如果可能的话，我建议您完全避免这个问题，并使用您所在平台提供的身份验证方法，Vault 支持它，例如 GCP、AWS 或 Kubernetes。