如何访问管道中的 Vault 凭据

Question

我们在管道中使用 Vault 插件从 Vault 读取凭证。现在我们还想使用 Vault 的 PKI 引擎生成 TLS 证书。为此，我需要在管道文件中提供 Jenkins 的 appRole 秘密 ID。该秘密在 Jenkins 中配置为“Vault 应用程序角色凭据”，我不知道如何访问它。

我想做的是这样的：

withCredentials([VaultAppRoleCredential(credentialsId: 'vault_credentials'), roleIdVariable: 'roleId', secretIdVariable: 'secretId']) {
stage('generate certificate') {
    // authenticate with credentials against Vault
    // ...
}

}

目前我的解决方法是复制凭据并将 roleId 和 SecretId 另外存储在 Jenkins 中的用户名+密码凭据中。

Answer 1

这是我的工作示例，如何使用 Vault Credentials Token 并使用它来访问 Vault 机密：

// Specify how to access secrets in Vault
def configuration = [
vaultUrl: 'https://hcvault.global.nibr.novartis.net',
vaultCredentialId: 'poc-vault-token',
engineVersion: 2
]

def secrets = [
[path: 'secret/projects/intd/common/accounts', engineVersion: 2, secretValues: 
    [
        [vaultKey: 'TEST_SYS_USER'],
        [vaultKey: 'TEST_SYS_PWD']
    ]
  ]
]

... [omitted pipeline]

stage ('Get Vault Secrets') {
  steps  {
    script {
      withCredentials([[$class: 'VaultTokenCredentialBinding', credentialsId: 'poc-vault-token', vaultAddr: 'https://hcvault.global.nibr.novartis.net'], usernamePassword(credentialsId: 'artifactory-jenkins-user-password', usernameVariable: 'USERNAME', passwordVariable: 'PASSWORD')]) {
        withVault([configuration: configuration, vaultSecrets: secrets]) {  
          sh """
            echo $env.VAULT_ADDR > hcvault-address.txt
            echo $env.VAULT_TOKEN > hcvault-token.txt
            echo $env.TEST_SYS_USER > sys-user-account.txt
          """.stripIndent()
        }
      }
    }
  }
}