Комментарии 3
Интересно услышать и про политики, т.к. они тоже являются я бы сказал неотъемлемым инструментом для RBAC-подобного контроля того, кто имеет доступ к каким секретам, хранящимся в Vault
ЗЫ и несмотря на то, что библиотек для доступа к API Vault довольно много, они все не лишены определенных недостатков, поэтому в некоторых случаях проще написать свое решение)
ЗЫ и несмотря на то, что библиотек для доступа к API Vault довольно много, они все не лишены определенных недостатков, поэтому в некоторых случаях проще написать свое решение)
Так Vault не продать. Выглядит как KV storage. Вероятно с фичами, превращающими его в сервер пассворд менеджер, но главное-то как доставлять эти секреты до приложений. Пока на глаза попадались только клиентские библиотеки, делающие запрос к серверу на основании хранящихся как обычно токенов и прочих аутентификационных данных. Основной плюс, как я понимаю, возможность централизованно менять пароли к внешним сервисам, не меняя пароль доступа к самому Vault. И то как-то обеспечить, чтоб приложение и не ломилось со старыми кредами, и не делало запрос к Vault на каждый чих. Я правильно понимаю?
Да, тоже не понял. Типа «коробка для хранения ключей». А чем другая коробка плоха? Почему б не хранить их в редисе, мускуле или вообще текстовых файлах?
И главное — это как-то вообще повышает безопасность? Если кто-то взломал какой-то сервер, то ключей на сервере он не найдет, окей, но что ему помешает запросить все секреты с vault?
И главное — это как-то вообще повышает безопасность? Если кто-то взломал какой-то сервер, то ключей на сервере он не найдет, окей, но что ему помешает запросить все секреты с vault?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Безопасное использование секретов: шаблон для использования HashiCorp Vault