Hashicorp Vault——只创建授权令牌,不读取秘密
Hashicorp Vault -- Create Auth Tokens Only, Don't read secrets
我正在使用 Hashicorp Vault:
我想要一个可以创建新用户但不能读取他们的秘密的用户。
我是否可以创建如下策略:
path "sys/auth/token/*" {
policy = "write"
}
因为所有策略都设置为拒绝?
这是使用 Vault 的错误方法。这些是我的错误:
- 正在尝试存储用户密码。对我来说,处理平台密码看起来更好,比如集成的临时 postgre 凭证。
- 正在尝试删除服务器上的任何身份验证密钥痕迹。如果要自动创建 Vault 用户,则 Vault 凭据将需要存在于某个位置,可以是脚本或具有适当权限的文件。
- 正在尝试缓解有根服务器。如果有人拥有 root 访问权限,则问题会比这更大。加密可以减少数据泄漏,例如数据库转储。在我的案例中,如果 root 访问权限受到损害,则必须接受数据泄漏。最好不要扎根。
我正在使用 Hashicorp Vault:
我想要一个可以创建新用户但不能读取他们的秘密的用户。
我是否可以创建如下策略:
path "sys/auth/token/*" {
policy = "write"
}
因为所有策略都设置为拒绝?
这是使用 Vault 的错误方法。这些是我的错误:
- 正在尝试存储用户密码。对我来说,处理平台密码看起来更好,比如集成的临时 postgre 凭证。
- 正在尝试删除服务器上的任何身份验证密钥痕迹。如果要自动创建 Vault 用户,则 Vault 凭据将需要存在于某个位置,可以是脚本或具有适当权限的文件。
- 正在尝试缓解有根服务器。如果有人拥有 root 访问权限,则问题会比这更大。加密可以减少数据泄漏,例如数据库转储。在我的案例中,如果 root 访问权限受到损害,则必须接受数据泄漏。最好不要扎根。