HashiCorp Vault 基础使用及常用命令指南
概述
HashiCorp Vault 是一款工具,用于安全地存储和管理机密信息,如 API 密钥、密码、证书等。Vault 提供了一个安全的加密存储层,可以动态生成机密并提供细粒度的访问控制和审计功能。
安装与启动
首先,你需要安装 Vault。可以从 HashiCorp 官方网站 下载适合你操作系统的二进制文件。
一旦下载完成,可以通过以下命令启动一个开发模式的 Vault 服务器:
vault server -dev
这将启动一个在本地运行的开发服务器,监听在 http://127.0.0.1:8200。
配置与初始化
在首次使用之前,需要初始化 Vault。在开发模式下,初始化命令如下:
vault operator init
这将输出一个根令牌和多个 unseal keys。你需要至少输入三个 unseal keys 来 unseal Vault,使其从启动状态变为可用状态:
vault operator unseal <unseal_key_1>
vault operator unseal <unseal_key_2>
vault operator unseal <unseal_key_3>
使用根令牌登录:
vault login <root_token>
常用命令
登录
vault login [token|username]
列出可用的 secrets 引擎
vault secrets list
启用 secrets 引擎
vault secrets enable -path=myengine kv-v2
写入机密
vault kv put myengine/mysecret key1=value1 key2=value2
读取机密
vault kv get myengine/mysecret
更新机密
vault kv put myengine/mysecret key1=updated_value
删除机密
vault kv delete myengine/mysecret
审计日志
vault audit list
配置审计设备
vault audit enable file type=file path=/path/to/logfile
关闭 Vault
vault operator shutdown
安全实践
- 最小权限原则:确保每个用户和应用仅能访问他们需要的机密。
- 周期性轮换:定期更新和轮换机密,减少潜在泄露的影响。
- 审计和监控:启用审计日志,持续监控对 Vault 的访问和使用情况。
结论
HashiCorp Vault 是一个强大的工具,用于管理和保护敏感数据。通过以上指南,你可以开始使用 Vault 来增强你的系统安全性和合规性。不过,请记住,安全是一个持续的过程,需要不断的学习和适应。
