Kann HashiCorp Vault rollende Passwörter ausgeben und eine Kopie behalten, damit ein Mensch ein bestimmtes Passwort erhalten kann

Question

Ich habe mehrere Systeme mit der Bezeichnung A-Z. Meine Frage ist, kann Vault ein Passwort auf Anfrage von jedem meiner Systeme A-Z generieren und einem Benutzer erlauben, nur das Passwort für ein bestimmtes System wie System R zu sehen? Ein Benutzer muss sich im Vault anmelden und nach diesem Systemkennwort suchen können, damit er es eingeben und mit der Arbeit beginnen kann.

Answer 1

Sie müssten sowohl die richtigen ACL-Richtlinien erstellen als auch die Generierung, Speicherung und Abfrage dieser Kennwörter automatisieren. Vault verfügt über einen Endpunkt zum Generieren von zufälligen Bytes (https://www.vaultproject.io/api/system/tools.html#generate-random-bytes).

Beachten Sie auch, dass Vault derzeit keine Versionsverwaltung von Geheimnissen unterstützt. Workaround wäre, jedes Passwort an einem anderen Pfad zu speichern, damit Sie den Verlauf bei Bedarf behalten können (secret/hostname/password = thingy). Ich habe keine Werkzeuge gesehen, die das für Sie tun, aber es ist auch nicht zu kompliziert für einen Anwendungsfall.