احراز هویت و خط مشی
به طور پیش فرض ، Vault از تأیید هویت توکن استفاده می کند.
می توانید از استفاده کنید: vault token
را ایجاد کنید تا یک نشانه جدید ایجاد کنید که از امتیازات کاربری که آن را ایجاد کرده است
این نشانه ممکن است توسط مدیر لغو شود.
یک اپراتور که سعی در لغو آن دارد ، خطایی دریافت می کند.
$ نماد طاق ایجاد
مقدار کلیدی
--- -----
توکن 3WZeul5S8KgctuWgSsgB8mHQ
token_accessor 6Up6TqBg5g2oyVvZAoC9GN8j
# تلاش برای برداشتن از کاربر دیگر
$ tokcon token 3WZeul5S8KgctuWgSsgB8mHQ باطل شد
خطا در ابطال توکن: خطایی در درخواست API.
URL: PUT http: //vault.local: 8200 / v1 / auth / token / revoke
کد: 403. خطا:
* 1 خطا رخ داده است:
* اجازه رد شد
# از سرپرستی که آن را ایجاد کرده است
$ tokcon token 3WZeul5S8KgctuWgSsgB8mHQ باطل شد
موفقیت! نشانه ابطال شده (در صورت وجود)
احراز هویت UserPass
Vault از مکانیسم های مختلف تأیید اعتبار مختلف پشتیبانی می کند.
روش های احراز هویت مکانیزم هایی است که توسط Vault برای تأیید اعتبار استفاده می شود ؛ یک شناسه اختصاص می دهد و مجموعه ای از خط مشی های دسترسی را برای کاربر یا یک فرآیند اعمال می کند.
روش اجرای userpass .
پیاده سازی ساده است.
کاربر ورود به سیستم هنوز نشانه ای را دریافت می کند ، که می تواند از آنها استفاده کند.
$ طاق auth userpass را فعال می کند
موفقیت! روش عبور کاربر فعال در: userpass /
$ vault auth / userpass / کاربران / lord.nikon را بنویسید
> گذرواژه = R4zor-n-Bl4d3
> خط مشی = سرپرست
موفقیت! داده های ارسال شده به: auth / userpass / کاربران / lord.nikon
$ ورود به خرک-متد = userpass
> نام کاربری = lord.nikon
> پسورد = R4zor-n-Bl4d3
موفقیت! اکنون احراز هویت شده اید. اطلاعات توکن در زیر نمایش داده می شود
در حال حاضر در یاور نشانه ای ذخیره می شود. نیازی به اجرای "ورود به طاق" نیست
دوباره درخواست های آینده Vault بطور خودکار از این نشان استفاده می کنند.
مقدار کلیدی
--- -----
توکن 3vk72Ueofq9f6FBJMJtgliXH
token_accessor 2WAPnzZFl1MXWDwz97lwBtTE
token_duration 768h
token_renewable درست است
token_policies ["admins" "default"]
ident_policies []
سیاست ها ["admins" "default"]
token_meta_username lord.nikon
مجوز: سیاستمداران
Vault از HCL برای تعریف سیاست هایی استفاده می کند که می توانند به نقش ها متصل شوند.
شما می توانید سیاستی را ایجاد کنید که به همه امکان خواندن داشته باشد ، اما فقط به شما امکان می دهد آن را در فضای نام ایجاد کنید
سیاست خرک $ $ my-readonly Policy را بنویسید - < مسیر "پنهان / *"
>
> قابلیت ها = ["read"]
>
>}
>
>
>
> مسیر "secret / data / *"
>
> قابلیت ها = ["read"]
>
>}
>
>
>
> مسیر "secret / data / foo" {
>
> قابلیت ها = ["read","create"]
>
>}
> EOF
موفقیت! سیاست بارگذاری شده: خط مشی خواندنی اکنون می توانیم یک خط مشی فقط برای خواندن را به نشانه وصل کنیم.
این نشانه می تواند به عنوان مثال در فرآیند مونتاژ مورد استفاده قرار گیرد تا اسرار مورد نیاز در خط لوله مونتاژ / استقرار را بخواند (اما به روز نمی کند).
$ token token ایجاد -پولیتی = خط مشی-خواندن من
مقدار کلیدی
--- -----
توکن 1eluleJQ0qw8HXWpixyNQP8Q
token_accessor 1cCui3p8Z0FIuFglOs8ELoPd
token_duration 768h
token_renewable درست است
token_policies ["default" "my-readonly-policy"]
ident_policies []
سیاست ها ["default" "my-readonly-policy"]
ابتدا یک کیلو ولت ایجاد کنید / به روز کنید
$ vault kv راز / build-secret "u = h4ck-the-pl4n3t"
مقدار کلیدی
--- -----
ایجاد شده_ماهه 2019-01-01T18: 32: 11.0358738Z
حذف_ ساعت n / a
نابود شده
نسخه 2
$ ورود طاق 1eluleJQ0qw8HXWpixyNQP8Q
موفقیت! اکنون احراز هویت شده اید. اطلاعات توکن نمایش داده شده در زیر ... snip ...
$ vault kv راز / build-secret "u = tr4shing-our-r1ght5 !"
خطا در نوشتن داده به secret / data / build-secret: خطا در درخواست API.
URL: PUT http: //vault.local: 8200 / v1 / secret / data / build-secret
کد: 403. خطا:
* 1 خطا رخ داده است:
* اجازه رد شد
همچنین می توانیم این خط مشی را به روش مجوز وصل کنیم.
به عنوان مثال ، اگر ورود به سیستم را در github.com فعال کنیم ، می توانستیم همین مجوزهای فقط خواندنی را برای آنها تعیین کنیم.
$ طاق نوشتن auth / github / نقشه / تیم ها / مقدار پیش فرض = خط مشی-خواندن