Vault: работа с секретами

22.02.2024

CI/CD, Безопасность

Комментариев нет

Создание и управление секретами

Vault поддерживает разные виды секретов: статические (например, пароли) и динамические (например, учетные данные для базы данных, которые Vault сам генерирует).

Статические секреты

Включение секретного хранилища (если оно еще не включено):

Shell

vault secrets enable -path=secret kv

1
2

vault secrets enable -path=secret kv

Этот пример включает хранилище KV по пути secret/.
Запись секрета:

Shell

vault kv put secret/mysecret value="SuperSecretValue"

1
2

vault kv put secret/mysecret value="SuperSecretValue"
Чтение секрета:

Shell

vault kv get secret/mysecret

1
2

vault kv get secret/mysecret
Удаление секрета:

Shell

vault kv delete secret/mysecret

1
2

vault kv delete secret/mysecret

Динамические секреты

Для динамических секретов Vault может сам создавать и управлять учетными данными для внешних сервисов (например, AWS или базы данных).

Подключение к базе данных (например, PostgreSQL):

vault secrets enable database
vault write database/config/my-postgresql-database \
    plugin_name=postgresql-database-plugin \
    connection_url="postgresql://{{username}}:{{password}}@localhost:5432/dbname" \
    allowed_roles="my-role" \
    username="admin" \
    password="adminpassword"

vault secrets enable database

vault write database/config/my-postgresql-database \

plugin_name=postgresql-database-plugin \

connection_url="postgresql://{{username}}:{{password}}@localhost:5432/dbname" \

allowed_roles="my-role" \

username="admin" \

password="adminpassword"

Создание роли для управления динамическими секретами:

vault write database/roles/my-role \
    db_name=my-postgresql-database \
    creation_statements="CREATE ROLE \"{{name}}\" WITH LOGIN PASSWORD '{{password}}' VALID UNTIL '{{expiration}}';" \
    default_ttl="1h" \
    max_ttl="24h"

vault write database/roles/my-role \

db_name=my-postgresql-database \

creation_statements="CREATE ROLE \"{{name}}\" WITH LOGIN PASSWORD '{{password}}' VALID UNTIL '{{expiration}}';" \

default_ttl="1h" \

max_ttl="24h"

Запрос динамических учетных данных:

Shell

vault read database/creds/my-role

1
2

vault read database/creds/my-role

Vault выдаст учетные данные, действительные в течение времени, указанного в ttl.

Настройка политик доступа

Политики в Vault позволяют управлять доступом к секретам. Для создания политики доступа нужно написать файл политики (например, my-policy.hcl):

path "secret/data/*" {
  capabilities = ["create", "read", "update", "delete", "list"]
}

path "secret/data/*" {

capabilities = ["create", "read", "update", "delete", "list"]

}

Загрузите политику в Vault:

vault policy write my-policy my-policy.hcl

1 2	vault policy write my-policy my-policy.hcl

Примените политику к токену или роли, чтобы дать пользователям доступ к пути secret/data/.

Аутентификация пользователей

Vault поддерживает несколько методов аутентификации, включая токены, GitHub, LDAP, AppRole и Kubernetes.

Для использования, например, GitHub-аутентификации:

Включите метод аутентификации:

Shell

vault auth enable github

1
2

vault auth enable github
Настройте доступ через GitHub:

Shell

vault write auth/github/config organization="my-github-org"

1
2

vault write auth/github/config organization="my-github-org"
Создайте привязку политик для команд GitHub:

Shell

vault write auth/github/map/teams/dev value="my-policy"

1
2

vault write auth/github/map/teams/dev value="my-policy"

Теперь участники команды dev в GitHub-организации my-github-org смогут аутентифицироваться в Vault с привязанной политикой my-policy.
Мониторинг и логирование

Vault поддерживает логирование и мониторинг для анализа работы и безопасности. Логи настраиваются в конфигурационном файле Vault. Например:

INI

log_level = "info"

1
2

log_level = "info"

Также можно интегрировать Vault с системами мониторинга, такими как Prometheus, для отслеживания метрик.

Примеры основных команд Vault

Инициализация и разлочивание:

Shell

vault operator init vault operator unseal

1
2
3

vault operator init
vault operator unseal
Авторизация и настройка токенов:

Shell

vault login <root-token> vault token create -policy=my-policy

1
2
3

vault login <root-token>
vault token create -policy=my-policy
Работа с секретами:

Shell

vault kv put secret/mysecret value="SuperSecretValue" vault kv get secret/mysecret vault kv delete secret/mysecret

1
2
3
4

vault kv put secret/mysecret value="SuperSecretValue"
vault kv get secret/mysecret
vault kv delete secret/mysecret
Управление политиками:

Shell

vault policy write my-policy my-policy.hcl

1
2

vault policy write my-policy my-policy.hcl

Это общие шаги для работы с HashiCorp Vault. Vault можно масштабировать и интегрировать с различными инфраструктурными сервисами и системами аутентификации для обеспечения безопасности данных на уровне предприятий.

secrets vault

Vault: работа с секретами

22.02.2024

CI/CD, Безопасность

Комментариев нет

Создание и управление секретами

Статические секреты

Динамические секреты

Настройка политик доступа

Аутентификация пользователей

Мониторинг и логирование

Примеры основных команд Vault

Recommended Posts

Vault как настроить доступ извне?

Ошибки установки Vault в Gitlab CI пайплайне

Vault: web интерфейс

Добавить комментарий Отменить ответ