使用 terraform 获取保险库秘密值答案

【问题标题】：fetching vault secret value using terraform使用 terraform 获取保险库秘密值
【发布时间】：2018-04-28 18:51:16
【问题描述】：

我正在使用带有 consul 作为存储后端的保管库服务器，并尝试使用 terraform 中的保管库提供程序获取密码值。但它没有获取它的价值。我将我的秘密存储在位置秘密/实例中

main.tf

provider "vault" {
 address = "https://<IP_ADDRESS>:<PORT_NUMBER>"
 token = "118bb796-d715-8ce4-b987-7f354ff3f5a7"
}
data "vault_generic_secret" "mypass"{
 path = "secret/instances/password"
}
output "mypassword" {
 value = "${data.vault_generic_secret.mypass.data["value"]}"
}

当我运行 terraform apply 它显示：

data.vault_generic_secret.mypass: Refreshing state...
data.vault_generic_secret.mypass: Refreshing state...

Apply complete! Resources: 0 added, 0 changed, 0 destroyed.

请建议我在这里做错了什么，因为它没有从保险库中获取密码值。

【问题讨论】：

${data.vault_generic_secret.mypass.data} 的任何输出？先看看能不能拿到数据。
感谢您的回复。是的，我检查了建议命令的输出，它也没有像以前那样给出任何东西。
那么你需要检查保险库设置是否正确。
好的..我会检查它..
我检查了保险库是否适合我。我也可以使用 rest api 获取秘密值。 curl -k --header "X-VAULT-TOKEN:118bb796-d715-8ce4-b987-7f354ff3f5a7" -X GET 10.110.159.196:8200/v1/secret/instances/password {"lease_id":"","renewable":false,"lease_duration":2592000,"数据":{"excited":"yes","value":"pM0dularc"},"warnings":null,"auth":null}

标签： terraform hashicorp-vault

【解决方案1】：

我也遇到了类似的问题并找到了这篇文章。就我而言，问题是 terraform 和 vault 之间的兼容性。我使用的是与 terraform v0.11.10 不兼容的 KV 版本 2。

相关问题：GitHub Link

所以我会尝试用工作示例和环境细节来写我的答案，因为它可能会帮助其他人。

保险柜版本：保险柜 0.10.1

秘密引擎类型：KV 版本 1

路径：srekv1/development

Terraform 版本：Terraform v0.11.10

provider.local v1.1.0
provider.vault v1.1.4

提取秘密的 Terraform 代码：

provider "vault" {

address = "https://vault-myappXXX.net"
skip_tls_verify = true
token = "95XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
}

data "vault_generic_secret" "srekv1" {
  path = "srekv1/development"
}

output Namekv1 {
value = "${data.vault_generic_secret.srekv1.data["Name"]}"
}

【讨论】：

有什么办法可以保密保管库令牌吗？
是的，要么使用stackoverflow.com/questions/65746460/…，要么使用环境变量的其他方式（我猜）

【解决方案2】：

vault_generic_secret 应该在 resource 块中定义。

您已在 data 块中定义它。

参考：https://www.terraform.io/docs/providers/vault/d/aws_access_credentials.html

【讨论】：