[Vault] Pense-bête sur les commandes - iZero

Pense-bête sur les commandes Vault

Article original Publié le : 25 août 2019

Mise a jour le : –

La doc officiel: https://www.vaultproject.io/

Le binaire Vault: https://www.vaultproject.io/downloads.html

Lien direct pour Linux: https://releases.hashicorp.com/vault/1.2.2/vault_1.2.2_linux_amd64.zip

Une fois le binaire téléchargé et dézippé, placer le dans un répertoire du path (exemple: /usr/local/sbin/)

Vault est utilisé pour chiffrer les crédentials se trouvant dans les properties des applications.

Pour se connecter au serveur

$ export VAULT_ADDR=http://<strong>adresse_du_serveur_vault</strong>:8200

1	$ export VAULT_ADDR=http://<strong>adresse_du_serveur_vault</strong>:8200

$ vault auth -method=userpass -path=radius username=<strong>user_ldap</strong> password=

1	$ vault auth -method=userpass -path=radius username=<strong>user_ldap</strong> password=

Après connexion, vérifier les secrets déjà en place

$ vault list secret

1	$ vault list secret

Création d’un nouveau secret

$ vault write secret/[SERVICE_NAME]/[SECRET_NAME] [KEY_1]=[VALUE_1] [KEY_2]=[VALUE_2] …

Exemple:

$ vault write secret/<strong>non_du_service</strong>/<strong>nom_du_secret</strong> username=<strong>username</strong> password=<strong>mot_de_passe</strong>

1	$ vault write secret/<strong>non_du_service</strong>/<strong>nom_du_secret</strong> username=<strong>username</strong> password=<strong>mot_de_passe</strong>

Success! Data written to: secret/<strong>non_du_service</strong>/<strong>nom_du_secret</strong>

1	Success! Data written to: secret/<strong>non_du_service</strong>/<strong>nom_du_secret</strong>

Créer une politique Vault pour le service

Le service ne devrait être autorisé à lire que ses propres secrets.

Si il n’existe pas, créer un fichier avec le nom du service et renseigner le comme ci dessous:

$ vim ~/<strong>nom_du_service</strong>

1	$ vim ~/<strong>nom_du_service</strong>

path "secret/<strong>nom_du_service</strong>/*" {
capabilities = ["read"]
}

path "secret/<strong>nom_du_service</strong>/*" {

capabilities = ["read"]

}

Puis écrire la policy dans le coffre-fort, e nom de la stratégie doit être identique à celui du service.

$ vault policy-write [POLICY_NAME] [POLICY_FILE_PATH]

Exemple:

$ vault policy write <strong>nom_du_service</strong> ~/<strong>nom_du_service</strong>

1	$ vault policy write <strong>nom_du_service</strong> ~/<strong>nom_du_service</strong>

Success! Uploaded policy: token-service

1	Success! Uploaded policy: token-service

Créer un nouveau AppRole pour le service

$ vault write write auth / approle / role / [SERVICE_NAME] token_ttl = 2h policies = [POLICY_NAME]

Exemple:

$ vault write auth/approle/role/<strong>nom_du_service</strong> token_ttl=2h policies=<strong>nom_de_la_policy</strong>

1	$ vault write auth/approle/role/<strong>nom_du_service</strong> token_ttl=2h policies=<strong>nom_de_la_policy</strong>

Success! Data written to: auth/approle/role/<strong>nom_du_service</strong>

1	Success! Data written to: auth/approle/role/<strong>nom_du_service</strong>

Récupérer le role ID

$ vault read auth/approle/role/[SERVICE_NAME]/role-id

Exemple:

$ vault read auth/approle/role/<strong>nom_du_service</strong>/role-id

1	$ vault read auth/approle/role/<strong>nom_du_service</strong>/role-id

Key Value
--- -----
role_id abcdefgh-1234-1234-1234-abcdefghijkl

Key Value

--- -----

role_id abcdefgh-1234-1234-1234-abcdefghijkl

Récupérer le secret ID

$ vault write -f auth/approle/role/[SERVICE_NAME]/secret-id

Exemple:

$ vault write -f auth/approle/role/<strong>nom_du_service</strong>/secret-id

1	$ vault write -f auth/approle/role/<strong>nom_du_service</strong>/secret-id

Key Value
--- -----
secret_id abcdefgh-1234-1234-1234-abcdefghijkl
secret_id_accessor abcdefgh-1234-1234-1234-abcdefghijkl

Key Value

--- -----

secret_id abcdefgh-1234-1234-1234-abcdefghijkl

secret_id_accessor abcdefgh-1234-1234-1234-abcdefghijkl

Vérifier la policy

$ vault read /sys/policy/<strong>nom_du_service</strong>

1	$ vault read /sys/policy/<strong>nom_du_service</strong>

Doit etre egale à a ~/nom_de_la_policy

Articles lus : 1 237

No votes yet.

Please wait...

Voting is currently disabled, data maintenance in progress.

Laisser un commentaire Annuler la réponse