Hashicorpボールト - 秘密

Question

を読んではいけない、唯一の認証トークンを作成し、私はHashicorp Vaultを使用しています：

https://www.vaultproject.io/

を私は新しいユーザーを作成することができ、ユーザをしたいが、その秘密を読み取ることはできません。すべてのポリシーが拒否するように設定されているので、

path "sys/auth/token/*" { 
    policy = "write" 
} 

：

は私だけのようなポリシーを作成しますか？

Answer 1

これはVaultを使用する間違った方法でした。これらは私のエラーでした：

• ユーザーのパスワードを保存しようとしました。私にとっては、統合された一時的なpostgreの資格情報のように、プラットフォームのパスワードを処理する方が良いでしょう。
• サーバー上の認証キーのトレースを削除しようとしています。 Vaultユーザーを自動的に作成する場合、Vault資格情報は、適切な権限を持つスクリプトまたはファイルのいずれかに存在する必要があります。
• ルートサーバーを軽減しようとしています。誰かがルートアクセス権を持っている場合、それより大きな問題があります。暗号化は、データベースダンプのようなデータ漏洩を軽減することができます。私のケースでは、ルートアクセスが侵害された場合、データリークが容認されなければならない。根づかないことに集中することが最善です。