Vault - Secrets engines

Vault 的 Secure engine 可以是 AWS、Database、Github… 等。


資料會進哪個 Secret engine 是看 Path,像是預設開啟 kv 這個 Secret engine 在 secret 這個 Path,我們可以直接用 secret/$name 這樣的方式指定存放的位置。


若指定的位置無對應的 Secret engine,因為無 Secret engine 可以服務,因此會報錯。

vault write foo/bar a=b


Secret engine 可使用 vault secrets enable 加帶 Secret engine name自行啟用,如果啟用的 Path 跟 Secret engine name 不同,可加帶 -path 參數指定。

vault secrets enable [-path=$path] $secret-engine


像是這邊筆者起了一個 kv 的 Secret engine 在 kv 這個 Path。

vault secrets enable -path=kv kv


查驗 Secret engine 列表,可看到確實已經啟用。

vault secrets list


實際操作寫入測試。

vault write kv/my-secret value="s3c(eT"


vault write kv/hello target=world


vault write kv/airplane type=boeing class=787


新啟動的 Secret engine 應該會能正常的運作。

vault list kv


若要關閉,可用 vault secrets disable 加帶 Path 關閉。

vault secrets disable $path


像是…

vault secrets disable kv/


查驗 Secure engine 列表,應可看到確實被停用。

vault secrets list


Link