什么是Vault?
HashiCorp Vault 是一个基于身份的秘密和加密管理系统。机密是您想要严格控制访问的任何内容,例如 API 加密密钥、密码和证书。Vault 提供由身份验证和授权方法门控的加密服务。使用 Vault 的 UI、CLI 或 HTTP API,可以安全地存储和管理、严格控制(限制)和审计对机密和其他敏感数据的访问。
现代系统需要访问大量机密,包括数据库凭据、外部服务的 API 密钥、面向服务的架构通信的凭据等。可能很难了解谁在访问哪些机密,尤其是因为这可能是平台-具体的。如果没有自定义解决方案,几乎不可能添加密钥滚动、安全存储和详细的审计日志。这就是 Vault 介入的地方。
在向客户(用户、机器、应用程序)提供访问机密或存储的敏感数据之前,Vault 会验证并授权他们。
Vault工作原理
Vault 主要使用令牌,令牌与客户端的策略相关联。每个策略都是基于路径的,并且策略规则限制了每个客户端的路径的操作和可访问性。使用 Vault,您可以手动创建令牌并将其分配给您的客户,或者客户可以登录并获取令牌。下图显示了 Vault 的核心工作流程。
核心 Vault 工作流包括四个阶段:
- 身份验证: Vault 中的身份验证是客户端提供信息的过程,Vault 使用这些信息来确定他们是否如他们