Joe*_*ang 7 cyber-ark spring-boot spring-cloud hashicorp-vault spring-vault
我正在尝试使用 Spring Vault 提供集中式服务,为我们的微服务生态系统提供存储和检索凭证信息的功能。然而,我们的组织目前使用 cyber-ark 来集中凭证,所以我正在寻找的是构建一个基于 Spring Vault 的抽象服务,并为 Harshicorp Vault 使用 cyber-arkas 存储引擎。
您可以将 Conjur(CyberArk Open Source and Entreprise)vault 与 Spring Boot 结合使用。但是,您必须使用此处提到的 java Api:
https://www.conjur.org/blog/loading-your-database-credentials-at-runtime-with-conjur/
1-您必须从 gitHub 下载 conjur java-api。(构建它并在您的 Spring Boot 应用程序中用作依赖项)
<!-- CONJUR CYBERARK -->
<dependency>
<groupId>net.conjur.api</groupId>
<artifactId>conjur-api</artifactId>
<version>2.2.1</version>
</dependency>
<!-- CONJUR CYBERARK -->
2- 确保您已配置 conjur 服务器和 cli。https://www.conjur.org/get-started/quick-start/oss-environment/
3-添加 conjur 属性作为环境变量:
CONJUR_ACCOUNT=demo
CONJUR_AUTHN_LOGIN=host/demo-app
CONJUR_AUTHN_API_KEY=smzqbc31zk7gh2svfv8h3cvzy9a2059c399366jgk651343de79z6
CONJUR_APPLIANCE_URL=http://cyberark_conjur_1/api
注意:完成第 2 步中相关的 conjur 配置后,您将获得所有上述变量。
4-在 Spring Boot 应用程序中,您可以使用 conjur 获取数据库凭据,而不是在 application.properties/yml 中硬编码为:
@Value("${CONJUR_AUTHN_LOGIN}")
private String conjurHostId;
@Value("${CONJUR_AUTHN_API_KEY}")
private String conjurAPIKey;
@Value("${spring.datasource.url}")
private String datasourceUrl;
@Value("${spring.datasource.driver-class-name}")
private String datasourceDriverClass;
@Bean
public DataSource dataSource() {
Conjur conjur = new Conjur(conjurHostId, conjurAPIKey);
String datasourceUsername =
conjur.variables().retrieveSecret("db/username");
String datasourcePassword =
conjur.variables().retrieveSecret("db/password");
DriverManagerDataSource dataSource = new DriverManagerDataSource();
dataSource.setUsername(datasourceUsername);
dataSource.setPassword(datasourcePassword);
dataSource.setUrl(datasourceUrl);
dataSource.setDriverClassName(datasourceDriverClass);
return dataSource;
}
毕竟,您可以运行您的 Spring Boot 应用程序,它将使用 conjur 进行身份验证并获取数据库的用户名+密码。
如果您在 conjur 服务器中保存了其他机密,那么您可以通过以下方式访问它们:
public Optional<String> findSecret(final String secretKey) {
try {
Conjur conjur = new Conjur();
String secretFound = conjur.variables().retrieveSecret(secretKey);
return Optional.ofNullable(secretFound);
} catch (Exception e) {
e.printStackTrace();
throw new IllegalArgumentException(e.getMessage());
}
}
我无法将 CyberArk 与 Spring Cloud Vault 一起使用。使用Spring cloud Vault,您可以更好地抽象Vault,但不幸的是,仅支持HashicorpVault(AFAIK)。
任何其他建议将不胜感激。
| 归档时间: |
|
| 查看次数: |
3297 次 |
| 最近记录: |