【问题标题】:How to start Hashocorp vault as a Service and access from another EC2 instance?如何启动 Hashicorp 保险库即服务并从另一个 EC2 实例访问?
【发布时间】:2021-07-04 22:17:58
【问题描述】:

我需要在 EC2 实例中将 Hashicorp 保管库作为服务启动,从另一个 ec2 实例访问它,每次启动时都需要解封密钥。如何在 Ec2 实例的每次启动时自动解封密钥?

我引用了这个doc 来启动服务,但如果没有不安全 (-k) 模式,我就无法访问它。

curl --header "X-Vault-Token: s.mhKWQGSf3ttFIEW5aTzs3CIY" http://127.0.0.1:8200/v1/kv/secret/mypath -k

我怎样才能做到这一点?

【问题讨论】:

    标签: amazon-ec2 hashicorp-vault vault


    【解决方案1】:

    在 EC2 上下文中管理解封的最简单、最安全的方法是利用 AWS KMS(密钥管理服务)并使用一个 KMS 托管的密钥来自动解封 Vault。

    您可以在以下 2 个页面中了解更多信息:

    第二个链接真正描述了您需要在 Vault config.hcl 文件中设置的所有seal "awskms" 配置。只要您的 EC2 实例角色拥有一个允许其读取该 KMS 密钥的 IAM 配置文件,它就会变得自动且简单。

    【讨论】:

      猜你喜欢
      • 2022-12-04
      • 1970-01-01
      • 2012-06-12
      • 2020-04-26
      • 2020-01-18
      • 1970-01-01
      • 2023-03-02
      • 1970-01-01
      • 2011-07-15
      相关资源
      最近更新 更多