HashiCorp Vault是一个统一的存储系统,用于存储令牌、密码和加密密钥等敏感数据。针对喜欢在严格控制的环境中保守秘密的公司,我们的新插件允许项目管理者为Buddy创建具有可定制访问范围的短期API令牌。
工作原理
系统使用个人访问令牌(也称为根令牌)来授权在Vault中创建令牌。根令牌必须有权创建和管理令牌,并且可以通过将其限制在选定的IP或工作区领域来加强(在这种情况下,这些限制会自动由子令牌继承)。
对于有时间限制的根令牌,您可以启用自动轮换,这将在到期前1天自动删除旧令牌并创建一个新令牌。
在保险库中,您可以为具有选定权限范围的令牌创建一个角色,然后将其运用到凭据中。例如,如果您想让您的开发人员运行流水线(但不修改它),职能配置如下:
$ vault write buddy/roles/run_pipeline ttl=30 scopes=WORKSPACE,EXECUTION_RUN
所有生成的令牌都有一个可延长的(除非有限制)租用时间,之后它们就会过期。也可以仅限于特定的IP或工作区内。
信息
有关配置、命令和可用选项的详细信息,请查看插件存储仓中的自述文件。
提示
您可以在我们的安全保障页面上阅读更多关于Buddy如何安全保护的相关信息。