在 hashcorp vault 上配置 aws auth

Question

我正在尝试在 hashcorp vault 上配置 aws auth。下面是我做的步骤。但我不确定我是否做得正确。虽然它有效。

1. 使用以下策略创建 IAM 用户

    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:GetInstanceProfile",
                "iam:GetUser",
                "ec2:DescribeInstances",
            ],
            "Resource": "*"
        }
    ]
}

1. 使用以下策略创建 IAM 角色

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::*:role/aws-example-role"
        }
    ]
}

1. 在保险柜上启用 AWS 身份验证

export VAULT_ADDR=http://127.0.0.1:8200

export VAULT_NAMESPACE=namespace_main/namespace_tenant_1

vault auth enable -path=aws aws  

vault write auth/aws/config/client secret_key=xxx access_key=xxx region=us-east-1

vault write auth/aws/role/dev-role auth_type=iam bound_iam_principal_arn="arn:aws:iam::1234xxxxxxxxxxxx:role/aws-example-role" policies=namespace_tenant_1_admin max_ttl=50h 

vault login -method=aws -path=aws role=dev-role

问题：

1. 这是否意味着我正在使用角色登录保险库？
2. 上面的2个vault write有什么区别？我需要两者还是只需要一个。

Answer 1

这是否意味着我正在使用角色登录保险库？

是的，在这种方法中，凭据不会存储在保险库中，而是根据需要生成。这就是我们关联角色和策略的原因，以便根据我们所做的配置按需生成凭据。

保管库写入身份验证/aws/config/client secret_key=xxx access_key=xxx region=us-east-1

此保管库写入正在将 AWS 账户详细信息写入位置 auth/aws/config/，并使用密钥和访问密钥提供 AWS 账户的凭据。

虽然此保管库写入 auth/aws/role/dev-role auth_type=iam bound_iam_principal_arn="arn:aws:iam::1234xxxxxxxxxxxx:role/aws-example-role" policies=namespace_tenant_1_admin max_ttl=50h

正在关联特定资源必须生成凭据的权限。是的，您可以参考文档以获取更多信息。