ΠΡΡΠ΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΈΡ ΠΈ ΠΏΠΎΠ»ΠΈΡΠΈΠΊΠΈ
ΠΠΎ ΡΠΌΠΎΠ»ΡΠ°Π½ΠΈΡ Vault ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠ΅Ρ Π°ΡΡΠ΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΈΡ ΠΏΠΎ ΡΠΎΠΊΠ΅Π½Ρ.
ΠΠΎΠΆΠ½ΠΎ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΡ : vault token create
Π΄Π»Ρ ΡΠΎΠ·Π΄Π°Π½ΠΈΡ Π½ΠΎΠ²ΠΎΠ³ΠΎ ΡΠΎΠΊΠ΅Π½Π°, ΠΊΠΎΡΠΎΡΡΠΉ Π½Π°ΡΠ»Π΅Π΄ΡΠ΅Ρ ΠΏΡΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΈ ΡΠΎΠ·Π΄Π°Π²ΡΠ΅Π³ΠΎ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Ρ.
Π’ΠΎΠΊΠ΅Π½ ΠΌΠΎΠΆΠ΅Ρ Π±ΡΡΡ ΠΎΡΠΎΠ·Π²Π°Π½ Π°Π΄ΠΌΠΈΠ½ΠΈΡΡΡΠ°ΡΠΎΡΠΎΠΌ.
ΠΠΏΠ΅ΡΠ°ΡΠΎΡ, ΠΏΡΡΠ°ΡΡΠΈΠΉΡΡ ΠΎΡΠΎΠ·Π²Π°ΡΡ Π΅Π³ΠΎ, ΠΏΠΎΠ»ΡΡΠΈΡ ΠΎΡΠΈΠ±ΠΊΡ.
$ vault token createKeyValue--------token3WZeul5S8KgctuWgSsgB8mHQtoken_accessor 6Up6TqBg5g2oyVvZAoC9GN8j# ΠΏΠΎΠΏΡΡΠΊΠ° ΠΎΡΠΎΡΠ·Π²Π°ΡΡ ΠΎΡ Π΄ΡΡΠ³ΠΎΠ³ΠΎ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Ρ$ vault token revoke 3WZeul5S8KgctuWgSsgB8mHQError revoking token: Error making API request.URL: PUT http://vault.local:8200/v1/auth/token/revokeCode: 403. Errors:* 1 error occurred:* permission denied# ΠΎΡ Π°Π΄ΠΌΠΈΠ½ΠΈΡΡΡΠ°ΡΠΎΡΠ°, ΠΊΠΎΡΠΎΡΡΠΉ Π΅Π³ΠΎ ΡΠΎΠ·Π΄Π°Π»$ vault token revoke 3WZeul5S8KgctuWgSsgB8mHQSuccess! Revoked token (if it existed)
UserPass Π°ΡΡΠ΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΈΡ
Vault ΠΏΠΎΠ΄Π΄Π΅ΡΠΆΠΈΠ²Π°Π΅Ρ ΠΌΠ½ΠΎΠΆΠ΅ΡΡΠ²ΠΎ ΡΠ°Π·Π½ΡΡ ΠΌΠ΅Ρ Π°Π½ΠΈΠ·ΠΌΠΎΠ² Π°ΡΡΠ΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΈΠΈ.
ΠΠ΅ΡΠΎΠ΄Ρ Π°ΡΡΠ΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΈΠΈ — ΡΡΠΎ ΠΌΠ΅Ρ Π°Π½ΠΈΠ·ΠΌ, ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠ΅ΠΌΡΠΉ Vault Π΄Π»Ρ Π°ΡΡΠ΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΈΠΈ; ΠΏΡΠΈΡΠ²ΠΎΠ΅Π½ΠΈΠ΅ ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΎΡΠ° ΠΈ ΠΏΡΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ Π½Π°Π±ΠΎΡΠ° ΠΏΠΎΠ»ΠΈΡΠΈΠΊ Π΄ΠΎΡΡΡΠΏΠ° Π΄Π»Ρ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Ρ ΠΈΠ»ΠΈ ΠΏΡΠΎΡΠ΅ΡΡΠ°.
ΠΡΠΎΡΡΡΠΌ Π² ΡΠ΅Π°Π»ΠΈΠ·Π°ΡΠΈΠΈ ΡΠ²Π»ΡΠ΅ΡΡΡ ΠΌΠ΅ΡΠΎΠ΄ userpass.
ΠΡ ΠΎΠ΄ΡΡΠΈΠΉ Π² ΡΠΈΡΡΠ΅ΠΌΡ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Ρ ΠΏΠΎ-ΠΏΡΠ΅ΠΆΠ½Π΅ΠΌΡ ΠΏΠΎΠ»ΡΡΠ°Π΅Ρ ΡΠΎΠΊΠ΅Π½, ΠΊΠΎΡΠΎΡΡΠΉ Π·Π°ΡΠ΅ΠΌ ΠΌΠΎΠΆΠ΅Ρ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΡ.
$ vault auth enable userpassSuccess! Enabled userpass auth method at: userpass/$ vault write auth/userpass/users/lord.nikon \> password=R4zor-n-Bl4d3 \> policies=adminsSuccess! Data written to: auth/userpass/users/lord.nikon$ vault login -method=userpass \> username=lord.nikon \> password=R4zor-n-Bl4d3Success! You are now authenticated. The token information displayed belowis already stored in the token helper. You do NOT need to run "vault login"again. Future Vault requests will automatically use this token.KeyValue--------token3vk72Ueofq9f6FBJMJtgliXHtoken_accessor 2WAPnzZFl1MXWDwz97lwBtTEtoken_duration 768htoken_renewabletruetoken_policies ["admins" "default"]identity_policies[]policies ["admins" "default"]token_meta_usernamelord.nikon
ΠΠ²ΡΠΎΡΠΈΠ·Π°ΡΠΈΡ: ΠΠΎΠ»ΠΈΡΠΈΠΊΠΈ
Vault ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠ΅Ρ HCL Π΄Π»Ρ ΠΎΠΏΡΠ΅Π΄Π΅Π»Π΅Π½ΠΈΡ ΠΏΠΎΠ»ΠΈΡΠΈΠΊ, ΠΊΠΎΡΠΎΡΡΠ΅ ΠΌΠΎΠΆΠ½ΠΎ ΠΏΡΠΈΠΊΡΠ΅ΠΏΠΈΡΡ ΠΊ ΡΠΎΠ»ΡΠΌ.
ΠΠΎΠΆΠ½ΠΎ ΡΠΎΠ·Π΄Π°ΡΡ ΠΏΠΎΠ»ΠΈΡΠΈΠΊΡ, ΠΊΠΎΡΠΎΡΠ°Ρ ΡΠ°Π·ΡΠ΅ΡΠ°Π΅Ρ ΡΠΈΡΠ°ΡΡ Π²ΡΠ΅ΠΌ, Π½ΠΎ ΡΠ°Π·ΡΠ΅ΡΠ°Π΅Ρ ΡΠΎΠ·Π΄Π°Π²Π°ΡΡ ΡΠΎΠ»ΡΠΊΠΎ Π² ΠΏΡΠΎΡΡΡΠ°Π½ΡΡΠ²Π΅ ΠΈΠΌΠ΅Π½ foo
$ vault policy write my-readonly-policy - > capabilities = ["read"]> > }> > > > path "secret/data/*" {> > capabilities = ["read"]> > }> > > > path "secret/data/foo" {> > capabilities = ["read","create"]> > }> EOFSuccess! Uploaded policy: my-readonly-policyΠ’Π΅ΠΏΠ΅ΡΡ ΠΌΡ ΠΌΠΎΠΆΠ΅ΠΌ ΠΏΡΠΈΠΊΡΠ΅ΠΏΠΈΡΡ ΠΏΠΎΠ»ΠΈΡΠΈΠΊΡ ΡΠΎΠ»ΡΠΊΠΎ Π΄Π»Ρ ΡΡΠ΅Π½ΠΈΡ ΠΊ ΡΠΎΠΊΠ΅Π½Ρ. ΠΡΠΎΡ ΡΠΎΠΊΠ΅Π½ ΠΌΠΎΠΆΠ΅Ρ Π±ΡΡΡ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½, Π½Π°ΠΏΡΠΈΠΌΠ΅Ρ, Π² ΠΏΡΠΎΡΠ΅ΡΡΠ΅ ΡΠ±ΠΎΡΠΊΠΈ Π΄Π»Ρ ΡΡΠ΅Π½ΠΈΡ (Π½ΠΎ Π½Π΅ ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΡ) ΡΠ΅ΠΊΡΠ΅ΡΠΎΠ², Π½Π΅ΠΎΠ±Ρ ΠΎΠ΄ΠΈΠΌΡΡ Π² ΠΏΠ°ΠΉΠΏΠ»Π°Π½Π΅ ΡΠ±ΠΎΡΠΊΠΈ/ΡΠ°Π·Π²Π΅ΡΡΡΠ²Π°Π½ΠΈΡ.
$ vault token create -policy=my-readonly-policyKeyValue--------token1eluleJQ0qw8HXWpixyNQP8Qtoken_accessor 1cCui3p8Z0FIuFglOs8ELoPdtoken_duration 768htoken_renewabletruetoken_policies ["default" "my-readonly-policy"]identity_policies[]policies ["default" "my-readonly-policy"]#create/update a kv first$ vault kv put secret/build-secret "u=h4ck-the-pl4n3t"KeyValue--------created_time 2019-01-01T18:32:11.0358738Zdeletion_timen/adestroyedfalseversion2$ vault login 1eluleJQ0qw8HXWpixyNQP8QSuccess! You are now authenticated. The token information displayed below …snip… $ vault kv put secret/build-secret "u=tr4shing-our-r1ght5\!"Error writing data to secret/data/build-secret: Error making API request.URL: PUT http://vault.local:8200/v1/secret/data/build-secretCode: 403. Errors:* 1 error occurred:* permission deniedΠΡ ΡΠ°ΠΊΠΆΠ΅ ΠΌΠΎΠΆΠ΅ΠΌ ΠΏΡΠΈΠΊΡΠ΅ΠΏΠΈΡΡ ΠΏΠΎΠ»ΠΈΡΠΈΠΊΡ ΠΊ ΠΌΠ΅ΡΠΎΠ΄Ρ Π°Π²ΡΠΎΡΠΈΠ·Π°ΡΠΈΠΈ. ΠΠ°ΠΏΡΠΈΠΌΠ΅Ρ, Π΅ΡΠ»ΠΈ ΠΌΡ Π²ΠΊΠ»ΡΡΠΈΠ»ΠΈ Π»ΠΎΠ³ΠΈΠ½Ρ Π½Π° github.com, ΠΌΡ ΠΌΠΎΠ³Π»ΠΈ Π±Ρ ΡΡΡΠ°Π½ΠΎΠ²ΠΈΡΡ Π΄Π»Ρ Π½ΠΈΡ ΡΠ΅ ΠΆΠ΅ ΡΠ°Π·ΡΠ΅ΡΠ΅Π½ΠΈΡ ΡΠΎΠ»ΡΠΊΠΎ Π΄Π»Ρ ΡΡΠ΅Π½ΠΈΡ.
$ vault write auth/github/map/teams/default value=my-readonly-policy
0 ΠΠΎΠΌΠΌΠ΅Π½ΡΠ°ΡΠΈΠΈ