hashCorp VaultはDBクレデンシャルを保護するためにどのように機能しますか？

Question

さまざまなWebアプリケーションで使用されているDB資格情報を保護するために、vaultを探しています。私は少数のYoutubeビデオ、スライドシェア、さらにはVaultを試して試してみました。 VaultはVaultに認証するためにトークンを使用するWebアプリケーションのようなものの資格情報を保護していますか？私は、実行中のアプリケーションの秘密にアクセスできるように、Apacheプロセスがボールトトークン（ユーザートークン、ルートトークンではない）を所有しなければならないと仮定しています。これは、アプリケーションの侵害の場合にApacheプロセスがアクセスできる秘密を明らかにしているようです。私はここで大きな勝利を見ないので、私は多くを欠場する必要があります。

Answer 1

Vaultでは認証バックエンドがサポートされており、トークンを生成できます。トークンは一時的なアクセスと見なされ、キーと同じではありません。

特に、Vaultは、さまざまなシステムでの認証をサポートし、必要に応じて動的な秘密と認証情報を生成します。これは十分に文書化されているhere

セキュリティに関しては、authentication backendをプライマリとし、結果としてトークンが生成されるという考えがあります。ハードコーディングトークンがセキュリティリスクであると言うのは間違いありません。オンザフライで生成されると、厳密な権限と短いTTLを持つ必要があります。 Vaultでは、ACLを使用してトークンの範囲を定義できるので、これを簡単に行うことができます。