Hashicorp Vault客户端最佳实践

Question

我有一个应用程序使用Hashicorp来存储用户名和密码秘密。应用程序被部署到云托管平台上，并将令牌作为环境变量传递。在应用程序启动时，使用令牌从保险库读取秘密，并用于打开会话到远程服务。远程服务的应用程序和会话寿命很长。如果一切顺利，应用程序很少重新启动，因此很少从保险库读取。当应用程序重新启动时，令牌可能已经过期，导致失败。

客户应该如何使用保险库，有什么最佳实践指南吗？令牌生存期可以延长，但生存期越长，安全性受到的损害就越大。每次需要远程服务时，应用程序都可以用远程服务重新建立会话，但是这样做效率很低。还有另一种我没有考虑的选择吗？任何想法都将不胜感激。

Answer 1

您应该使用App角色，而不是传递普通的令牌。在这里，您将一个角色id放入应用程序中，然后在您的环境变量中为该角色部署一个秘密id。

然后，您的应用程序可以将这些组合起来，在启动时从Vault获得一个真正的令牌，并在运行时定期更新该令牌。