HashiCorp库用户审计

Question

我们正在寻找一种解决方案，以使我们能够审计我们的HashiCorp Vault实例，以获得以下名称空间的分解：

• 对于每个Vault用户，其实体所属的角色或组。

检查了Vault API资源管理器命令后，看来这不是使用该实用程序可以使用的功能。有人建议，Python客户端(HVAC)可能是一个可能的解决方案，但我的初步研究似乎也没有表明这一点。

例如，像邮递员这样的API客户端会是可能的答案吗？对于我们如何完成这项任务，有什么建议或建议吗？

Answer 1

API确实提供了这些信息，但是数据是由包含用户的组组织的。您必须以这种方式收集数据，并在执行过程中创建一个地图。正如福拉斯评论的那样，你很可能会遇到邮递员试图这么做的极限。

我看到您用Python标记了您的问题，下面列出了您需要执行的步骤，并提供了指向相应的Vault API文档和HVAC包装器的链接：

1. 按id分类的列表组使您的循环达到最佳状态。群组
2. 对于列表中的每个组：
   1. 阅读组的详细信息来获取member_entity_ids列表。组
   2. 对于组中的每个用户：
      1. 阅读用户详细信息并将结果保存在地图中(以便用户可以对其进行索引)。实体
      2. 在该用户的数据中添加将您带到那里的组。有点像users[entity_id].groups.append(current_group['data']['name'])。

3. 打印或导出您的users地图及其groups。

Answer 2

@ is 013的反应很好，但你也问到了角色。有些人在auth/oidc/role/${role_name}端点的bound_claims映射中将用户名/电子邮件地址与auth方法角色(特别是OIDC)联系起来。我并不是说人们应该使用这种方法，因为它不像标识系统组那样缩放，但是为了完整起见，值得一提的是，实际上可以分配三种位置策略:从标识系统实体对象、来自标识系统组，或者从auth方法角色定义。策略是在Vault中授予有效权限的方式，因此这在审计上下文中完全相关。