如何创建防止用户销毁机密版本的HashiCorp保管库策略？

要创建防止用户销毁机密版本的HashiCorp保管库策略，可以按照以下步骤进行：

首先，确保已经安装和配置了HashiCorp Vault。Vault是一个用于安全存储和访问敏感数据的工具。
创建一个新的保管库（Secrets Engine）用于存储机密版本。可以使用以下命令创建一个名为"secret"的保管库：

vault secrets enable -path=secret kv-v2

创建一个新的访问策略，用于限制用户对机密版本的销毁权限。可以使用以下命令创建一个名为"deny_destroy"的策略：

vault policy write deny_destroy - <<EOF
path "secret/data/*" {
  capabilities = ["read", "list", "create", "update"]
}

path "secret/metadata/*" {
  capabilities = ["list"]
}

path "secret/delete/*" {
  capabilities = ["deny"]
}
EOF

该策略允许用户读取、列出、创建和更新机密版本，但禁止删除机密版本。

创建一个新的身份实体，并将该实体与策略关联。可以使用以下命令创建一个名为"app_role"的身份实体，并将其与"deny_destroy"策略关联：

vault write auth/approle/role/app_role \
  secret_id_ttl=0 \
  token_ttl=0 \
  token_max_ttl=0 \
  policies="deny_destroy"

获取应用程序角色的角色ID和机密ID。可以使用以下命令获取它们：

vault read auth/approle/role/app_role/role-id
vault write -f auth/approle/role/app_role/secret-id

将返回的角色ID和机密ID保存起来，它们将用于应用程序进行身份验证。

在应用程序中使用角色ID和机密ID进行身份验证，并使用该身份访问机密版本。可以使用Vault的API或Vault客户端库来实现此步骤。

通过以上步骤，创建了一个防止用户销毁机密版本的HashiCorp Vault保管库策略。该策略限制了用户对机密版本的删除权限，同时允许其他操作，如读取、创建和更新。这样可以确保机密版本的安全性和可追溯性。

腾讯云相关产品和产品介绍链接地址：

腾讯云密钥管理系统（KMS）：https://cloud.tencent.com/product/kms
腾讯云访问管理（CAM）：https://cloud.tencent.com/product/cam

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

这些保护Spring Boot 应用的方法，你都用了吗？

安全性问题与代码质量和测试非常相似，已经日渐成为开发人员关心的问题。本文目的是介绍如何创建更安全的Spring Boot应用程序。 1....使用内容安全策略防止XSS攻击内容安全策略（CSP）是一个增加的安全层，可帮助缓解XSS（跨站点脚本）和数据注入攻击。...CSP是防止XSS攻击的良好防御，请记住，打开CSP能让CDN访问许多非常古老且易受攻击的JavaScript库，这意味着使用CDN不会为安全性增加太多价值。...一个好的做法是将保密信息存储在保管库中，该保管库可用于存储，提供对应用程序可能使用的服务的访问权限，甚至生成凭据。HashiCorp的Vault使得存储机密变得很轻松，并提供了许多额外的服务。...如果您对此感兴趣，请务必花一些时间查看Spring Vault，它为HashiCorp Vault添加抽象，为客户提供基于Spring注释的访问，允许他们访问、存储和撤销机密而不会迷失在基础架构中。

2.3K0 0

Spring Boot十种安全措施

安全性问题与代码质量和测试非常相似，已经日渐成为开发人员关心的问题，如果你是开发人员并且不关心安全性，那么也许认为一切理所当然。本文目的是介绍如何创建更安全的Spring Boot应用程序。...它在仪表板在应用程序中使用的软件包中存在的漏洞列表。此外，它还将建议升级的版本或提供补丁，并提供针对源代码存储库的拉取请求来修复您的安全问题。...5.使用内容安全策略防止XSS攻击内容安全策略（CSP）是一个增加的安全层，可帮助缓解XSS（跨站点脚本）和数据注入攻击。...一个好的做法是将保密信息存储在保管库中，该保管库可用于存储，提供对应用程序可能使用的服务的访问权限，甚至生成凭据。HashiCorp的Vault使得存储机密变得很轻松，并提供了许多额外的服务。...如果您对此感兴趣，请务必花一些时间查看Spring Vault，它为HashiCorp Vault添加抽象，为客户提供基于Spring注释的访问，允许他们访问、存储和撤销机密而不会迷失在基础架构中。

2.8K1 0

10 种保护 Spring Boot 应用的绝佳方法

2.4K4 0

.NET Core 必备安全措施

.NET Core大大简化了.NET应用程序的开发。它的自动配置和启动依赖大大减少了开始一个应用所需的代码和配置量，本文目的是介绍如何创建更安全的.NET Core应用程序。...基础架构升级通常不如依赖项升级具有破坏性，因为库作者对向后兼容性和版本之间的行为更改的敏感性各不相同。话虽如此，当你在配置中发现安全漏洞时，您有三种选择：升级，修补程序或忽略。...参考 https://www.cnblogs.com/tdfblog/p/aspnet-core-security-anti-request-forgery.html 4、使用内容安全策略防止XSS攻击...如果使用OIDC进行身份验证，则无需担心如何存储用户、密码或对用户进行身份验证。相反，你可以使用身份提供商（IdP）为你执行此操作，你的IdP甚至可能提供多因素身份验证（MFA）等安全附加组件。...一个好的做法是将保密信息存储在保管库中，该保管库可用于存储，提供对应用程序可能使用的服务的访问权限，甚至生成凭据。HashiCorp的Vault使得存储机密变得很轻松，并提供了许多额外的服务。

1.4K2 0

开源KMS之vault part3

过去版本的 Vault 中将这些称为“挂载点”(mounts)，但该术语已被过度使用。- 启用 —— 给定路径上启用秘密引擎。除了少数例外之外，机密引擎可以同时在多个路径上启用。...该过程会吊销引擎的所有机密，因为这些机密租约都已经在创建时与特定路径相绑定了。已存储的该引擎相关的配置信息会被移动到新路径上。...简单点讲，就是给vault里面预置了一个高权限的数据库账号，然后外部系统先访问vault，vault会返回一个临时数据库账号密码返回给外部系统，另外在临时账号的ttl到期时候vault会去数据库销毁临时账号...静态角色数据库机密引擎支持“静态角色”的概念，即 Vault 角色与数据库中的用户名的一对一映射。数据库用户的当前密码由 Vault 在可配置的时间段内存储和自动轮换。...这与动态机密不同，动态机密的每次请求凭据都会生成唯一的用户名和密码对。当为角色请求凭据时，Vault 会返回已配置数据库用户的当前密码，允许任何拥有适当 Vault 策略的人访问数据库中的用户帐户。

2181 0

【译】平台工程六大支柱

支柱 1：安全不管使用什么系统，开发者的第一个问题大概会是——“如何创建账号？怎么设置凭据？哪里能拿到 API Key？”...请求：平台为目标系统申请一个凭据（静态的或者短期的）注入凭据：平台把凭据注入到目标资源里代理响应：平台返回一个认证代理返回一个响应客户端响应：平台授权给最终用户访问机器/数据库：用户使用现代的安全远程访问协议访问目标资源...访问管理需求列表机密管理系统应该包含：中心化传输和存储中的加密用范围角色和访问策略进行限制尽可能动态生成时间相关（TTL）全程可审计机密管理应该有如下能力：支持多运行时、多云以及混合云部署...策略即代码造成了左移的效果，在基础设施发放过程中，能够更早的给用户提供反馈，并让用户能够更快更好地做出决策。策略是需要编写的。...开发人员灵活性：这些解决方案提供灵活接口（GUI、CLI、API、SDK），以创建个性化用户体验吗？文档资料：这些解决方案提供全面且最新的文档资料吗？

7661 0

HashiCorp Vault | 技术雷达

在企业级应用开发过程中，团队每时每刻都需要管理各种各样的私密信息，从个人的登陆密码、到生产环境的SSH Key以及数据库登录信息、API认证信息等。...尤其是在微服务如此风靡的今天，如何让开发者添加私密信息、应用程序能轻松的获取私密信息、采用不同策略更新私密信息、适时回收私密信息等变得越来越关键。...所有存放的数据都是加密的，任何动态生成的私密信息都有租期，并且到期会自动回收。滚动更新秘钥。用户可以随时更新存放的私密信息。...Vault提供了加密即服务（encryption-as-a-service）的功能，可以随时将密钥滚动到新的密钥版本，同时保留对使用过去密钥版本加密的值进行解密的能力。...对于动态生成的秘密，可配置的最大租赁寿命确保密钥滚动易于实施。审计日志。保管库存储所有经过身份验证的客户端交互的详细审核日志：身份验证，令牌创建，私密信息访问，私密信息撤销等。

2.4K5 0

MySQL安全性解决方案

解决方法为制定权限策略，权限最小化原则，为用户匹配适当的权限。访问控制薄弱：没有设置专用的管理账户，账户属性模糊，执行查询工作的同时，有执行管理工作。...这一页显示的是目前国际上普遍存在的合规要求，如果有国际业务的组织请留意相关法规要求，避免违规操作。上面的内容是数据库面临的挑战与合规要求，那么应该如何确保数据库的安全呢？ ?...预防意味着使用加密算法、用户控制、访问控制等手段尽可能的防止攻击。检测意味着使用审计、监控、警告灯手段对仍然可能存在的数据侵入进行检测。恢复意味着万一出现了安全事件，也可以保证服务不会中断。...增加了一组system_user权限，主要目的是为了将权限更细化，防止一般用户拥有过度的权限。拥有该权限的用户复制管理以下的需求： ?...使用Keyring可以对存于磁盘的数据进行加密，表空间，日志等等，可以将密钥以加密文件形式保存（企业版）或使用专用的密钥保管库。 ?

1.7K2 0

Azure Airflow 中配置错误可能会使整个集群受到攻击

这些漏洞如下：Airflow 集群中的 Kubernetes RBAC 配置错误Azure 内部 Geneva 服务的机密处理配置错误Geneva 的弱身份验证除了获得未经授权的访问外，攻击者还可以利用...初始访问技术包括创建一个有向无环图（DAG）文件，并将其上传到连接到 Airflow 集群的私有 GitHub 存储库中，或者修改现有的 DAG 文件。...“这个问题凸显了谨慎管理服务权限以防止未经授权的访问的重要性。它还强调了监控关键第三方服务运营以防止此类问题的重要性。...此问题在于，虽然具有 Key Vault 参与者角色的用户无法通过配置了访问策略的 Key Vault 直接访问 Key Vault 数据，但发现该角色确实具有将自身添加到 Key Vault 访问策略和访问...随后，Microsoft 更新了其文档以强调访问策略风险，并指出：“为了防止未经授权访问密钥保管库、密钥、secret和证书，必须在访问策略权限模型下限制参与者角色对密钥保管库的访问。

1201 0

如何防止机密信息渗入代码

了解机密信息如何进入代码能够在机密信息在代码中泄露之前检测到它们，使组织能够降低其风险敞口。通过在 IDE 中检测到它们，您可以避免通过轮换机密信息来补救它们的痛苦。...根据提示的质量和对这个问题的认识，AI 可能不会生成干净的代码，并且可能导致机密信息泄露。AI 生成的代码可以作为了解如何连接到服务的基础，但您必须对其进行修改以使用机密信息保管库。...使用 SonarQube Enterprise Edition 10.3 及更高版本的开发人员还可以创建自定义机密信息模式检测规则。...通过从开发一开始就在 IDE 中消除代码中的机密信息，团队可以防止机密信息进入其存储库。在项目开发的早期阶段检测和删除机密信息可减少在发布周期后期发现公开机密信息时所需的复杂且昂贵的补救措施。...相关文章：解决密钥管理的复杂性普通Kubernetes Secret足矣端到端的加密机密部署到Kubernetes 2024年构建稳健IAM策略的10大要点 CVE-2024-3094：XZ工具中新发现的后门

1011 0

K8S与Vault集成，进行Secret管理

在租约结束时，Vault 将自动撤销该机密。客户端可以通过内置续订 API 续订租约；吊销：Vault具有对秘密吊销的内置支持。...Vault 可以撤销单个机密，还可以撤销一个机密树，例如由特定用户读取的所有机密或特定类型的所有机密。...版本说明： Helm 3.0+ Kubernetes 1.9+ # 添加repo仓库 $ helm repo add hashicorp https://helm.releases.hashicorp.com...Data written to: auth/kubernetes/config （4）创建权限策略 $ cat <<EOF | vault policy write vault-demo-policy...Uploaded policy: vault-demo-policy 创建一个用于演示的demo策略。

3.1K6 1

开源KMS之vault part1

vault 是HashiCorp出品的一款久经考验的机密管理软件，HashiCorp家的terraform也很有名，改天有空再写terraform相关的。...与 Vault 的每一次交互，无论是将机密放入键/值存储中还是为 MySQL 数据库生成新的数据库用户名密码，都需要调用 Vault 的 API。...租约、续约以及吊销对于每个动态机密和 service 类型登录令牌，Vault 都会创建一个租约（lease）：包含持续时间、是否可续约等信息的元数据。...当令牌被吊销时，Vault 将吊销使用该令牌创建的所有租约。需要注意的是，Key/Value 机密引擎是不关联租约的，虽然它有时也会返回一个租约期限。...vault的部署本机地址 192.168.31.181 系统版本 centos 7.9 Vault版本： v1.15.4 启动consul单机版 $ .

2851 0

云原生之旅的最佳 Kubernetes 工具

镜像：镜像是创建容器的模板。它包含容器运行所需的一切，例如程序代码、库和系统设置。存储库：存储库是存储镜像的地方。它可以是您计算机上的本地目录，也可以是服务器上的远程存储库。...工具名称描述 containerd containerd 是一个容器运行时，用于管理物理或虚拟机器（主机）上容器的生命周期。它创建、启动、停止和销毁容器。...Kubernetes 集群管理 Kubernetes 的集群管理是管理一组 Kubernetes 集群的过程。这包括以下任务：配置和取消配置集群：根据需要创建和销毁集群。...Kubernetes 机密管理 Kubernetes 机密管理工具可帮助您以安全的方式存储和管理敏感信息，例如密码、API 密钥和证书。...open-policy-agent Kubernetes Open Policy Agent（OPA）可用于强制执行各种策略，包括：授权：OPA 可用于授权用户访问资源。

1631 0

专家专栏|Zabbix5.2安全特性-机密信息外部存储

5.2版本引入了HashCorp Valut来保存一些机密信息到外部存储。...HashiCorp是一家专注于基础设施解决方案的公司，业务范围涵盖软件开发中的部署、运维、安全等方面。5.2版本中很多敏感信息可保存在HashCorp Valut，而不保存在Zabbix数据库里。...创建好zabbix数据库用户导入sql文件后，在vault中使用以下命令创建zabbix数据库连接信息，假如zabbix数据库用户为zabbix，密码为password export VAULT_ADDR...六、Vault存储宏新版本可将zabbix 宏存储在Vault中，之前已在Vault创建一个名为macros的path，后期可使用以下命令创建需要的macros,直接写在后面即可，如添加一个key为token...七、Vault宏使用下面介绍如何在zabbix中如何使用vault保存的宏。例如使用ssh agent采集时需要输入机器的账号和密码，这里可使用vault存储账号和密码信息。下面主要介绍此场景。

2.2K2 0

部署企业私密信息管理平台Hashicorp vault集成kubernetes和AWS的密钥信息

一、需求　　目前公司内部网站、项目比较多，运维的密钥管理主要都是靠个人保存，其中包含数据库密钥信息、申请的TLS证书、AWS密钥信息、各管理平台的密钥等，管理混乱，容易丢失，希望有一个平台能统一收集管理...所有存放的数据都是加密的，任何动态生成的私密信息都有租期，并且到期会自动回收。滚动更新秘钥用户可以随时更新存放的私密信息。...Vault提供了加密即服务（encryption-as-a-service）的功能，可以随时将密钥滚动到新的密钥版本，同时保留对使用过去密钥版本加密的值进行解密的能力。...对于动态生成的秘密，可配置的最大租赁寿命确保密钥滚动易于实施。审计日志保管库存储所有经过身份验证的客户端交互的详细审核日志：身份验证，令牌创建，私密信息访问，私密信息撤销等。...用户可以通过命令行、HTTP API等集成到应用中来获取私密信息。HashiCorp Vault也能与Ansible、Chef、Consul等DevOps工具链无缝结合使用。

1.4K3 0

Apache Apisix轻松打造亿级流量Api网关

代理镜像：提供镜像客户端请求的功能。流量拆分：允许用户在各个上游之间增量定向流量百分比。...限制要求限制计数限制并发反重做（正则表达式拒绝服务）：无需配置的反重做S的内置策略。科尔斯为您的 API 启用 CORS（跨域资源共享）。 URI 阻止程序：通过 URI 阻止客户端请求。...监控和指标：普罗米修斯集群：APISIX 节点是无状态的，创建集群的配置中心，请参考 etcd 集群指南。高可用：支持在同一集群中配置多个 etcd 地址。挡泥板版本控制：支持操作回滚。...掌舵图 HashiCorp Vault：支持机密管理解决方案，用于从低信任环境中支持的 Vault 安全存储访问机密。...目前，可以使用 APISIX 密钥资源从 jwt-auth 身份验证插件中的保管库链接 RS256 密钥（公钥-私钥对）或密钥。

1.3K1 0

CODING 代码资产安全系列之 —— 构建全链路安全能力，守护代码资产安全

不同类型的企业资产有不同的管理办法，但守护资产的安全性无一例外都是重中之重，但对如何保障代码资产安全并没有形成统一认知。...CA 欺诈）使用 Git 凭据管理器保管 Git HTTPS 协议的账号密码 SSH 协议在使用的时候需要仔细比对服务器提供的公钥指纹跟服务提供商公告的公钥指纹是否完全一致，防止中间人攻击客户端需要注意防止攻击者恶意篡改...GPG 签名存储安全存储安全是指当代码被检入到代码仓库后，如何保证数据的机密性，完整性和可用性。...虽然业界没有针对代码仓库的通用高可用方案，但数据库主从策略和 RAID 机制是两个可以参考的做法，这里来做下简要介绍。数据库主从策略，一种做法是数据写入主库，从库自动增量同步数据。...，公钥等设定有限期审计密码，令牌，公钥等的使用记录为目录设定读写权限，只允许指定开发者读取或者写入某些目录禁止强制推送策略，防止代码被回退如图所示，设置仓库内的目录权限：阅读评审权限

6112 0

构建全链路安全能力，守护代码资产安全

不同类型的企业资产有不同的管理办法，但守护资产的安全性无一例外都是重中之重，但对如何保障代码资产安全并没有形成统一认知。...CA 欺诈）使用 Git 凭据管理器保管 Git HTTPS 协议的账号密码 SSH 协议在使用的时候需要仔细比对服务器提供的公钥指纹跟服务提供商公告的公钥指纹是否完全一致，防止中间人攻击客户端需要注意防止攻击者恶意篡改...签名存储安全存储安全是指当代码被检入到代码仓库后，如何保证数据的机密性，完整性和可用性。...虽然业界没有针对代码仓库的通用高可用方案，但数据库主从策略和 RAID 机制是两个可以参考的做法，这里来做下简要介绍。数据库主从策略，一种做法是数据写入主库，从库自动增量同步数据。...，公钥等设定有限期审计密码，令牌，公钥等的使用记录为目录设定读写权限，只允许指定开发者读取或者写入某些目录禁止强制推送策略，防止代码被回退如图所示，设置仓库内的目录权限：阅读评审权限诉求是看源码和辅助信息

8605 0

Vault的开源分支OpenBao

在九月份，HashiCorp 的竞争对手分叉了基础设施即代码（IaC）软件 Terraform，创建了 OpenTofu，之前 HashiCorp 将其核心企业软件大部分从开源转移到 Business...现在，OpenBAO 项目致力于维护 HashiCorp 广泛使用的 Vault 安全软件的开源版本。...OpenBao 将从 Vault 的最后一个开源版本启动，即 HashiCorp 在 Mozilla Public License 2.0（MPL 2.0）下获得的最后一个版本，即 1.14 分支。...HashiCorp 对错误修复的迟缓响应的不满，即使是由外部用户提交的错误修复。...据推测，对于同样受欢迎的 HashiCorp 机密软件，也可以提出类似的论点。Linux 基金会没有回应最后一分钟的评论请求。HashiCorp 拒绝回应 TNS 的最后一分钟请求。

2361 0

Terraform：多云、混合云环境下实现基础设施即代码

在默认情况下，提供商代码将被下载到.terraform文件夹中，该文件夹是Terraform的临时目录（用户或许需要将其添加到.gitignore，以防止将这个临时目录上传到版本控制系统）。...terraform import命令，将其添加到Terraform状态文件中进行管理始终使用plan命令运行plan命令以捕获潜在问题，特别注意可能会被错误删除的资源在销毁前创建考虑在删除资源前先创建新资源...仔细阅读输出结果，尤其注意terraform plan输出提示中的那些将要被删除但是你不想删除的资源。在销毁前创建如果确实要替换资源，请仔细考虑是否需要在删除之前先进行创建。...例如，为asg-rolling-deploy模块添加其他的示例，展示如何将它与自动缩放策略一起使用、如何将负载均衡器连接到该模块、如何设置自定义标签，等等。...提交这些更改并发布模块的新版本。现在，转到实时存储库，并删除所有以.tf为后缀的文件。用户需要为每个模块，创建一个terragrunt.hcl文件，代替复制/粘贴Terraform代码的工作。

8531 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云