Hashicorp-vault用户通过身份验证

Question

我正在尝试使用Hashicorp vault来存储服务帐户用户名和密码的秘密-我正在使用这个链接https://www.vaultproject.io/docs/auth/userpass.html来创建用户名和密码。

我这里的问题是，根据这个例子，当我从任何ec2实例卷曲时，我指定了密码"foo“，作为自动化的一部分，所以我们想要自动化这一点，代码将来自git：curl \ --request POST \ --data '{"password": "foo"}' \ http://10.10.218.10:8200/v1/auth/userpass/login/mitchellh。

我们的政策是，我们不应该在git中存储任何密码...如何在不指定用户密码的情况下运行curl并获得vault的身份验证？这个是可能的吗？

Answer 1

为什么不想使用aws-auth-method

此外，如果您确定要使用密码身份验证，我认为您可以这样做：

• 在存储区中生成用户/密码，将用户密码存储在存储区中，并设置策略以允许读取特定ec2实例的特定用户密码运行ec2-instance (EC2 auth method);
• In consul-template，该模板将使用ec2-instance角色在存储区中进行身份验证；
• 此咨询模板将生成具有特定用户名和密码的curl命令
• 使用此命令