Hashicorp Vault客户端最佳实践

Question

我有一个应用程序使用Hashicorp Vault来存储用户名和密码的秘密。该应用程序被部署到云托管平台并传递一个令牌作为环境变量。在应用程序启动时，使用令牌从保险库读取密钥并用于打开到远程服务的会话。远程服务的应用程序和会话很长。如果一切顺利，应用程序很少重新启动，因此很少从保险库读取数据。当应用程序重新启动时，令牌可能会过期导致失败。

是否有客户应该如何使用保管库内的任何最佳实践指南？令牌寿命可以延长，但寿命越长，安全性就越危险。每次需要时，应用程序都可以重新建立与远程服务的会话，但效率不高。我还没有考虑另一种选择吗？任何想法将不胜感激。

Answer 1

您应该使用App Roles强似在一个普通的令牌。在此，您将角色ID烘焙到您的应用中，然后在您的环境变量中为该角色部署一个秘密标识。然后

您的应用程序可以结合这些摆脱库上启动一个真实的道理，并且当它运行定期更新该令牌。