如何在生产中使用 Hashicorp Vault 的 AppRole？

Question

我们已经为一台服务器安装并配置了 Hashicorp Vault AppRole 身份验证，通过将role_id和存储在secret_id服务器上的本地文件中，并且我们能够让服务器上的代码从文件中读取值、向 Vault 进行身份验证、接收令牌和然后从 Vault 读取它需要的机密。到现在为止还挺好。但是，该secret_id31 天后过期，因此该过程失败。

我已经阅读了使用 AppRoles 的概念，它们似乎非常适合我们的用例，但是对于这个过期。我们不想secret_id每个月都重新生成。

根据我的阅读，如果您在没有设置secret_id_ttl的情况下创建角色，它应该不会过期，但事实并非如此。这可能是由于 AppRole 身份验证方法的配置方式所致，但我没有看到任何可靠的内容。

所以我在 Hashicorp 网站上找到了一篇文章，其中详细讨论了 AppRoles。这篇文章为在 CI/CD 环境中使 secret_id 过期提供了很好的论据，甚至通过 8 个简单的步骤说明了这是如何工作的。我明白这是如何工作的，但这篇文章没有提到CI/CD和Orchestrator系统本身如何通过 Vault 进行身份验证？或者我错过了什么？

最后，我想要secret_id不过期。曾经。

Answer 1

如果没有环境的额外支持，您将必须在安装程序中编写一些逻辑，并使用某种服务管理器来启动您的服务。在许多云环境中，您可能已经拥有等效的实体（Terraform、Cloud Formation 等），并且您应该在需要时利用它们的秘密管理功能。

对于自定义安装，这是我使用过的工作流程。

1. 拥有一个可以调用来执行安装/升级的安装管理器进程。确保服务的安装/升级始终通过此过程。
2. 有一个服务管理器进程，负责启动各个服务并监视/重新启动它们。确保服务启动始终通过此服务管理器。
3. 在安装过程中，为 Vault、安装管理器和服务管理器生成自签名证书。Vault 证书应信任安装管理器和服务管理器的证书。将这些内容以有限权限 (600) 存储在安装用户或服务管理器用户拥有的目录中（视情况而定）。使用这些证书在 Vault 中设置基于证书的身份验证。
4. 这些凭证应该具有与其相关的有限功能。安装管理员应该只能创建新角色而不能删除任何内容。服务管理器应该只能为安装管理器创建的指定角色创建机密，并且不能删除任何内容。
5. 在安装/升级期间，安装管理员应连接到 Vault 并创建所有必要的特定于服务的角色。它还应该能够在服务启动时读取的每个服务配置文件中为各个服务设置角色 ID。
6. 在每个服务启动期间，服务管理器应连接到 Vault 并创建与每个服务的角色相对应的秘密 ID。它应该在环境变量中设置秘密 ID 并启动服务。秘密 ID 应该具有有时限的有效性（通过设置 TTL），以便它们不能用于创建身份验证令牌之外的其他用途（请参阅#7）。
7. 每个服务都应该从配置文件中读取角色 ID，并从环境变量中读取秘密 ID。然后，它应该使用这两个生成身份验证令牌，并使用该令牌在其生命周期内通过保管库对自身进行身份验证。