Hashicorp Vaultを使用してアプリケーションの秘密を管理するにはどうすればよいですか？

Question

私はHashicorp Vaultの提供に非常に興奮していますが、現在のアーキテクチャにどのように適合しているのか、私は頭を抱えています。すべての配備でボールトを手作業で開封する必要があることは間違いありませんが、Vaultを最初に封印したときにアプリケーションはどのように反応するのでしょうか？

たとえば、アプリケーションAが初期化のためにVaultによって生成されたデータベース認証情報に依存している場合、このアプリケーションはVaultが封印されているときにどのように反応するのですか？封印された状態を確認しながらスピン待ちしますか？

また、他の人がVaultに生産時に特定の秘密をどのように事前に設定していますか？たとえば、起動時にVaultからフェッチする必要がある、一貫したシステムシークレットに依存する認証サーバーがあります。 Vaultを導入した後、この秘密が確実に利用できるようにするにはどうすればよいですか？

記録のために、展開のためdocker-composeとecs composeを使用していくつかの他のサービスと共にVaultを導入しています。

Answer 1

導入の間にボールトをシールする必要はありません。 Vaultでは、開封されていない格納域でリースを更新し、秘密を読み、資格情報を作成する必要があります。通常の使用中に、格納域は認証と認可で保護されます。

重要な侵入が検出されたときに金庫を密封する必要があります。ボールトのシールは、再構成されたマスターキーを捨てることで損害を最小限に抑えるのに役立ちます。これにより、リスクが軽減されるまでVaultが動作しなくなります。シールは、Vaultによって発行された資格情報を取り消しません。

また、既存の秘密をインポートする方法と、「安全にこの秘密がVaultを配備後に使用可能であることを確認？」に対して約尋ねた：

あなたが後にそれらをインポートするために、あなたの既存の秘密のためのライトコマンドを発行する必要があります金庫は開封されています。シークレットが存在することを安全に確認することができます。 CLIまたはAPIを使用する場合、読み取りおよび書き込み操作は一般に安全です。

$ vault write secret/single-consistent-system-secret value=secret-stuff 
Success! Data written to: secret/single-consistent-system-secret 

$ vault read secret/single-consistent-system-secret 
Key    Value 
lease_duration 2592000 
value   secret-stuff