【发布时间】:2023-03-25 00:59:01
【问题描述】:
我已经使用 HashiCorp Vault 六个月了,我的所有秘密都来自配置服务。我正在使用 spring.cloud.config.token 连接我的所有客户端服务,但是当保管库令牌每 30 天左右过期时,问题就出现了。对于较低的环境,令牌到期是可以接受的,因为我们可以一次又一次地重新部署,但生产,我们不能重新部署。因此,决定使用 AWS IAM 角色,可以连接到保管库,并且不会有任何过期。
我已经关注了这个官方link,但是我在启动应用程序时遇到了以下问题。
我用谷歌搜索过,但没有找到可行的解决方案。
我在客户端服务 (my-client-service) 的 bootstrap.yml 文件中使用以下代码
bootstrap.yml
spring:
application:
name: my-client-service
cloud:
config:
enabled: true
uri: 'https://localhost:8080'
vault:
enabled: true
uri: 'https://localhost:8090'
port: 443
scheme: https
namespace: 'vault-namespace/aus'
authentication: AWS_IAM
fail-fast: true
aws-iam:
role: aus-vault-role
aws-path: aws
generic:
enabled: true
backend: kv
profile-separator: '/'
default-context: my-client-service
application-name: my-client-service
config:
order: -1000
到 AWS 的保险柜身份验证 ARN
vault write auth/aws/config/sts/<account_number> sts_role=arn:aws:iam::<account_number>:role/role_name
将 ARN 与保险柜政策相关联
我为同一个账户创建了一个 IAM 角色,该账户映射了一个保管库角色和策略,并将每个 IAM 角色映射到一个保管库角色和策略。
vault write auth/aws/role/<Vault Role> auth_type=iam \
bound_iam_principal_arn=<Your AWS Role ARN> policies=<Vault policy list> max_ttl=500h
我错过了什么吗?如果我能找到这个问题的任何解决方案,那就太好了。提前致谢!
【问题讨论】:
标签: amazon-web-services spring-cloud amazon-iam hashicorp-vault spring-vault