Комментарии 6
С бэкапами Vault всё не так просто, если используется альтернативный unseal типа awskms:)
а можете раскрыть подетальнее, в скором времени тоже прийдется с этим столкнутся.
Вкратце -- рекомендую почитать hashicorp/vault#9421. Резервная копия получается зашифрованная и расшифровать её можно только при помощи того же ключа, который её шифровал (а ключи, которые генерировались при init для этого бесполезны). У нас своя реализация awskms, мы решили вопрос тем, что генерируем ключ сами, записываем на физические токены и держим в сейфе password-protected paper backup. В реальном AWS вероятно нужно использовать customer-managed keys.
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Бэкапы для HashiCorp Vault с разными бэкендами