πŸ”’ Π£Ρ‡Π΅Π±Π½ΠΈΠΊ ΠΏΠΎ Vault Π§Π°ΡΡ‚ΡŒ 4

АутСнтификация ΠΈ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ

По ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ Vault ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ ΠΏΠΎ Ρ‚ΠΎΠΊΠ΅Π½Ρƒ.

МоТно ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ : vault token create

для создания Π½ΠΎΠ²ΠΎΠ³ΠΎ Ρ‚ΠΎΠΊΠ΅Π½Π°, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ наслСдуСт ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΈ создавшСго ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ.

Π’ΠΎΠΊΠ΅Π½ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ ΠΎΡ‚ΠΎΠ·Π²Π°Π½ администратором.

ΠžΠΏΠ΅Ρ€Π°Ρ‚ΠΎΡ€, ΠΏΡ‹Ρ‚Π°ΡŽΡ‰ΠΈΠΉΡΡ ΠΎΡ‚ΠΎΠ·Π²Π°Ρ‚ΡŒ Π΅Π³ΠΎ, ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ ΠΎΡˆΠΈΠ±ΠΊΡƒ.

$ vault token createKeyValue--------token3WZeul5S8KgctuWgSsgB8mHQtoken_accessor 6Up6TqBg5g2oyVvZAoC9GN8j# ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠ° ΠΎΡ‚ΠΎΡ‚Π·Π²Π°Ρ‚ΡŒ ΠΎΡ‚ Π΄Ρ€ΡƒΠ³ΠΎΠ³ΠΎ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ$ vault token revoke 3WZeul5S8KgctuWgSsgB8mHQError revoking token: Error making API request.URL: PUT http://vault.local:8200/v1/auth/token/revokeCode: 403. Errors:* 1 error occurred:* permission denied# ΠΎΡ‚ администратора, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π΅Π³ΠΎ создал$ vault token revoke 3WZeul5S8KgctuWgSsgB8mHQSuccess! Revoked token (if it existed)

UserPass аутСнтификация

Vault ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅Ρ‚ мноТСство Ρ€Π°Π·Π½Ρ‹Ρ… ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌΠΎΠ² Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ.

ΠœΠ΅Ρ‚ΠΎΠ΄Ρ‹ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ — это ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹ΠΉ Vault для Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ; присвоСниС ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ΠΎΡ€Π° ΠΈ ΠΏΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ Π½Π°Π±ΠΎΡ€Π° ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊ доступа для ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ ΠΈΠ»ΠΈ процСсса.

ΠŸΡ€ΠΎΡΡ‚Ρ‹ΠΌ Π² Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ являСтся ΠΌΠ΅Ρ‚ΠΎΠ΄ userpass.

Входящий Π² систСму ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ ΠΏΠΎ-ΠΏΡ€Π΅ΠΆΠ½Π΅ΠΌΡƒ ΠΏΠΎΠ»ΡƒΡ‡Π°Π΅Ρ‚ Ρ‚ΠΎΠΊΠ΅Π½, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π·Π°Ρ‚Π΅ΠΌ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ.

$ vault auth enable userpassSuccess! Enabled userpass auth method at: userpass/$ vault write auth/userpass/users/lord.nikon \> password=R4zor-n-Bl4d3 \> policies=adminsSuccess! Data written to: auth/userpass/users/lord.nikon$ vault login -method=userpass \> username=lord.nikon \> password=R4zor-n-Bl4d3Success! You are now authenticated. The token information displayed belowis already stored in the token helper. You do NOT need to run "vault login"again. Future Vault requests will automatically use this token.KeyValue--------token3vk72Ueofq9f6FBJMJtgliXHtoken_accessor 2WAPnzZFl1MXWDwz97lwBtTEtoken_duration 768htoken_renewabletruetoken_policies ["admins" "default"]identity_policies[]policies ["admins" "default"]token_meta_usernamelord.nikon

Авторизация: ΠŸΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ

Vault ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ HCL для опрСдСлСния ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΠΎΠΆΠ½ΠΎ ΠΏΡ€ΠΈΠΊΡ€Π΅ΠΏΠΈΡ‚ΡŒ ΠΊ ролям.

МоТно ΡΠΎΠ·Π΄Π°Ρ‚ΡŒ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΡƒ, которая Ρ€Π°Π·Ρ€Π΅ΡˆΠ°Π΅Ρ‚ Ρ‡ΠΈΡ‚Π°Ρ‚ΡŒ всСм, Π½ΠΎ Ρ€Π°Π·Ρ€Π΅ΡˆΠ°Π΅Ρ‚ ΡΠΎΠ·Π΄Π°Π²Π°Ρ‚ΡŒ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Π² пространствС ΠΈΠΌΠ΅Π½ foo

$ vault policy write my-readonly-policy - > capabilities = ["read"]> > }> > > > path "secret/data/*" {> > capabilities = ["read"]> > }> > > > path "secret/data/foo" {> > capabilities = ["read","create"]> > }> EOFSuccess! Uploaded policy: my-readonly-policy
Π’Π΅ΠΏΠ΅Ρ€ΡŒ ΠΌΡ‹ ΠΌΠΎΠΆΠ΅ΠΌ ΠΏΡ€ΠΈΠΊΡ€Π΅ΠΏΠΈΡ‚ΡŒ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΡƒ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ для чтСния ΠΊ Ρ‚ΠΎΠΊΠ΅Π½Ρƒ. Π­Ρ‚ΠΎΡ‚ Ρ‚ΠΎΠΊΠ΅Π½ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ использован, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Π² процСссС сборки для чтСния (Π½ΠΎ Π½Π΅ обновлСния) сСкрСтов, Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹Ρ… Π² ΠΏΠ°ΠΉΠΏΠ»Π°Π½Π΅ сборки/развСртывания.
$ vault token create -policy=my-readonly-policyKeyValue--------token1eluleJQ0qw8HXWpixyNQP8Qtoken_accessor 1cCui3p8Z0FIuFglOs8ELoPdtoken_duration 768htoken_renewabletruetoken_policies ["default" "my-readonly-policy"]identity_policies[]policies ["default" "my-readonly-policy"]#create/update a kv first$ vault kv put secret/build-secret "u=h4ck-the-pl4n3t"KeyValue--------created_time 2019-01-01T18:32:11.0358738Zdeletion_timen/adestroyedfalseversion2$ vault login 1eluleJQ0qw8HXWpixyNQP8QSuccess! You are now authenticated. The token information displayed below …snip… $ vault kv put secret/build-secret "u=tr4shing-our-r1ght5\!"Error writing data to secret/data/build-secret: Error making API request.URL: PUT http://vault.local:8200/v1/secret/data/build-secretCode: 403. Errors:* 1 error occurred:* permission denied
ΠœΡ‹ Ρ‚Π°ΠΊΠΆΠ΅ ΠΌΠΎΠΆΠ΅ΠΌ ΠΏΡ€ΠΈΠΊΡ€Π΅ΠΏΠΈΡ‚ΡŒ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΡƒ ΠΊ ΠΌΠ΅Ρ‚ΠΎΠ΄Ρƒ Π°Π²Ρ‚ΠΎΡ€ΠΈΠ·Π°Ρ†ΠΈΠΈ. НапримСр, Ссли ΠΌΡ‹ Π²ΠΊΠ»ΡŽΡ‡ΠΈΠ»ΠΈ Π»ΠΎΠ³ΠΈΠ½Ρ‹ Π½Π° github.com, ΠΌΡ‹ ΠΌΠΎΠ³Π»ΠΈ Π±Ρ‹ ΡƒΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ для Π½ΠΈΡ… Ρ‚Π΅ ΠΆΠ΅ Ρ€Π°Π·Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ для чтСния.
$ vault write auth/github/map/teams/default value=my-readonly-policy

ΠžΡ‚ΠΏΡ€Π°Π²ΠΊΠ° коммСнтария

0 ΠšΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΈ