hashicorp vault -无法使用API列出密钥,但可以使用CLI成功验证
HashiCorp Vault是一个开源的工具,用于安全地管理秘密信息,例如API密钥、密码、证书等。它提供了一个安全的中央存储库,用于存储和访问敏感数据,并通过访问控制和审计功能保护这些数据。
HashiCorp Vault支持API和CLI两种方式进行操作。根据提供的问题描述,虽然无法使用API列出密钥,但可以使用CLI成功验证。针对这个问题,以下是一个完善且全面的答案:
概念: HashiCorp Vault是一个开源的工具,用于安全地管理秘密信息。
分类: HashiCorp Vault可以被归类为秘密管理工具和访问控制工具。
优势:
- 安全性:HashiCorp Vault提供了各种安全机制来保护存储在其中的秘密信息,如访问控制、加密和审计。
- 集中管理:Vault允许集中管理秘密信息,以减少敏感数据在应用程序和配置文件中的分散。
- 动态秘密:Vault提供了动态秘密的生成和分发功能,以增强秘密的安全性。
- 可扩展性:Vault具有良好的扩展性,可以适应不同规模和复杂度的环境。
- 强大的身份验证和授权:Vault支持多种身份验证和授权机制,可根据需要进行配置。
应用场景:
- 应用程序凭据管理:Vault可用于存储和管理应用程序所需的各种凭据,如数据库用户名和密码、API密钥等。
- 安全配置管理:Vault可以用来存储和管理敏感的配置信息,如TLS证书、密钥和密码。
- 动态凭据生成:Vault支持动态凭据生成,可以为应用程序和服务提供短暂的、临时性的凭据,提高安全性。
- 加密数据存储:Vault提供加密机制,可以将敏感数据安全地存储在后端存储中。
- 云原生应用:Vault支持在云原生环境中进行秘密管理,为应用程序和服务提供安全的凭据和配置信息。
推荐的腾讯云相关产品: 腾讯云提供了一系列与Vault类似的产品和服务,用于秘密管理和访问控制,如腾讯云密钥管理系统(KMS)、腾讯云访问管理(CAM)等。这些产品可以与Vault相结合,提供更全面的安全解决方案。
关于腾讯云密钥管理系统(KMS)的详细介绍和链接地址,可参考腾讯云的官方文档:腾讯云密钥管理系统(KMS)
关于腾讯云访问管理(CAM)的详细介绍和链接地址,可参考腾讯云的官方文档:腾讯云访问管理(CAM)
希望以上信息能够对您有所帮助!
相关·内容
我有一个处于开发模式的本地vault服务器,这样我就可以学习和理解如何使用vault。在本练习中,我的目标是使用API将证书加载到secrets引擎中。我已经能够使用这个curl命令: curl --header "X-Vault-Token: $VAULT_TOKEN" \ --data @payload-cert.json\
http://127.0.0.1
浏览 18提问于2020-07-25得票数 0
回答已采纳
我们在我们的一个系统中使用仲裁和Hashicorp保险库。我们已经成功地整合了这两者,也就是我们已经把特斯拉的私钥和公钥放在了Vault中,并且成功地运行了Quorum服务器。问题是,当我们试图为私钥使用密码时,我们无法找到实现这一目标的方法。甚至我们已经观察到,当我们在Hashicorp保险库中使用时,它生成密钥并在vault内部保存相同的密钥,它不要求任何密码。但是,当我们<e
浏览 0提问于2019-04-26得票数 0
回答已采纳
使用下面的安装程序无法读取存储在path / below /apims/ABC_CONFIG中的秘密 vault policy write policy_name - <<selector: app: "nginx-5" metadata: vault.hashicorp</
浏览 1提问于2020-07-15得票数 1
回答已采纳
现在,如果我想使用TLS证书对Vault进行身份验证,我需要在我的客户端文件系统上有一个带有证书的文件和一个带有私钥的文件。我请求支持,他们说目前没有办法做到这一点。有没有人知道在Windows上使用OS安装的证书的任何解决方法或其他方法?这是给保险库客户,vault.exe,来自供应商。我们的用例是用来使用厂商提供的E
浏览 0提问于2022-08-08得票数 2
1回答
我希望允许用户'devel‘登录到任何其他服务器使用公钥作为用户'devel’。这个用户不是一个人,而是一个纯脚本的帐户.我怎样才能做到这一点?木偶是正确的道路吗?每个源服务器如何接收所需的关键材料?我非常清楚私钥和公钥是如何用于SSH身份验证的,以及私钥的保密程度。
假设有100台服务器,私钥和公钥需要每90天更换一次。
浏览 0提问于2016-12-20得票数 1
我需要存储用户提供给我的非常敏感的秘密(用于身份验证到第三方API的username+password+certificate)。我首先考虑的是AWS秘密管理器,它非常昂贵,IMHO主要用于基础设施机密(数据库密码、API密钥、.)而不是客户提供的秘密。现在,我决定使用AWS KMS (并使用信封加密将加密的秘密存储在数据库(AWS RDS)中)和Hashicorp Vault。根据我所读到的,我得出的结论是,Vault KV主要用于
浏览 19提问于2020-04-18得票数 3
我是vault的新手,我想做一些非常简单的事情。我想在我的TF代码中注入我的vault username和password,这样Vault就可以在我的应用程序启动期间验证我的凭据。通常情况下,这是我在本地使用vault进行身份验证的方式: export VAULT_ADDR=https://myvault.devexport我正在使用一
浏览 21提问于2021-10-18得票数 0
我正在尝试在Azure中设置hashicorp服务器,以连接到存储blob。我尝试从VM上传文件,并使用VM的CLI列出blob,并取得了成功。/vault/vendor/github.com/Azure/azure-storage-blob-go/azblob.newStorageError, /gopath/src/github.com/hashicorp/
浏览 7提问于2022-11-08得票数 0
例如,如果在kubernetes集群中部署了容器化的angular应用程序,用户是否能够访问代码以及随后的API订阅密钥?保护您的订阅密钥/身份验证详细信息等的最佳实践是什么?编辑-指定的订阅密钥。
浏览 0提问于2020-05-04得票数 0
我使用HashiCorp Vault实现了两个Azure AD单点登录,并取得了令我困惑的对比结果。我使用了相同的代码(Terraform和Vault CLI)来:
在本地主机上运行的私有Azure订阅和Vault实例中实现了上述解决方案,完成了Azure AD应用程序注册和其他必需的配置。其结果是立即取得了成功,并且我能够使用我的authentication.的Azure广告凭据实现一次进入Vault的登录。<em
浏览 14提问于2022-04-21得票数 -1
目标是使用指定的服务主体并引用存储在AZ密钥库中的秘密,在Azure中创建资源。从本地存储的密钥(file、env var等)移出。只要我的azurerm提供者包含subid、clientid、clientsecret和tenantid,我就可以使用经过身份验证的服务主体成功地创建资源,它工作得很好。client_secret = "${var.sp_secret}"
tenant_id = "xxxxxxxx-xxxx-xxxx-xxx
浏览 14提问于2021-03-05得票数 0
在运行在我的Docker容器中的entrypoint.sh脚本中,我尝试使用Vault CLI检索Vault秘密,然后使用AWS身份验证进行身份验证。Dockerfile的相关代码:ENV VAULT_URL=https://releases.hashicorp.com/vault/1.0.1/vaul
浏览 2提问于2019-01-08得票数 0
回答已采纳
我在开发者模式的docker容器中本地运行Hashicorp Vault v1.1.0。我使用exec进入容器来使用cli,并且我无法使用策略和令牌完成基本的概念证明,这些策略和令牌只允许我访问一个秘密。 下面是我使用secrets引擎的v2执行的操作的文字记录。我在这里做错了什么?/ # VAULT_TOKEN=myroot vault kv enable-versioning secret/
浏览 12提问于2019-04-12得票数 2
回答已采纳
我配置了一个Hashicorp服务器,除了我的“拒绝”策略之外,一切都运行得很好。,并在“保险库令牌功能”命令中使用该令牌,它将返回我所期望的内容:当我使用该令牌登录时,问题就出现了,我不仅可以列出受限节点的内容,还可以获取其中任何密钥的详细信息(在下面的所有级别)。这在CLI和Web中都是正确的。
我确
浏览 0提问于2019-08-08得票数 3
回答已采纳
1回答
然而,所有这些只有在应用程序声称的主体/身份(我知道两者之间有区别,但在这里使用任意一个术语)才能得到验证(即应用身份验证)。我猜这种身份验证是针对"AWS fabric“进行的,而不是应用程序想要访问的目标服务/资源。如果唯一的验证机制是访问密钥和秘密密钥(或
浏览 0提问于2018-08-24得票数 1
回答已采纳
2回答
我正在调查一个AWS/Google混合基础设施系统是否可行,我所具备的一个要求是从一个系统到另一个系统的安全和简单身份验证。目前,我需要从Google实例连接到一个受限的AWS S3桶。,就像我正在执行一个普通的谷歌签名,以获得一个id_token,但没有任何成功。我还有几个其他选项可以执行与使用特定类型的联邦相比不那么优雅的任务:
为此创建一个IAM帐户,并使用类似Hashicorp‘secure这样的安全系统分发安全凭据。使用一个能够生成externalIds的简单系统
浏览 7提问于2016-03-31得票数 1
回答已采纳
我尝试将策略分配给现有存储帐户的Azure密钥库。问题是找不到如何获取分配策略所需的帐号(Principal_id)的UUID。我试图为数据找到正确的属性,但它看起来不存在于数据对象。因此,问题是我如何为现有存储帐户分配密钥存储库访问策略?resource "azurerm_key_vault_access_policy" "storage2" {
key_vault_id = azurerm_key_vault.keyvault.id
浏览 100提问于2021-06-17得票数 0
该公司中的scala项目已经使用了此身份验证方法。他们能够成功地使用身份验证方法读取秘密。到目前为止,我已经使用库node-vault编写了这段代码。}); vault.token = result.auth.client_token;
constconsole.log("myKeys", k
浏览 6提问于2022-05-12得票数 0
回答已采纳
我试图在Terraform项目中使用Azure/Azapi提供程序来创建Key Vault的密钥旋转策略,但是在添加提供程序并运行terraform init之后,我会得到以下错误:│为提供者检索身份验证校验和: 403禁忌
#2│错误:安装azure/azapi v0.1.0时未能
浏览 5提问于2022-10-28得票数 0
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频
腾讯云开发者
