Мы установили и настроили аутентификацию Hashicorp Vault AppRole для одного сервера, сохранив role_id
и secret_id
в локальном файле на сервере, и мы можем заставить код на сервере читать значения из файла, аутентифицироваться в Vault, получать токен, а затем прочтите необходимые секреты из Vault. Все идет нормально. Однако срок действия secret_id
истекает через 31 день, и поэтому процесс завершается ошибкой.
Я читал о концепциях использования AppRoles, и они кажутся идеальными для нашего варианта использования, но для этого срока. Мы не хотим заново генерировать secret_id
каждый месяц.
Из того, что я читал, если вы создаете роль без установки secret_id_ttl
, срок ее действия не должен истекать, но это не так. Это может быть связано с тем, как настроен метод аутентификации AppRole, но я не видел в этом ничего серьезного.
Итак, я нашел статью на веб-сайте Hashicorp, где обсуждаются роли AppRoles. в деталях. В статье приводятся веские аргументы в пользу истечения срока действия secret_id в среде CI / CD, и даже показано, как это работает, в 8 простых шагов. Я понимаю, как это работает, но в статье не упоминается, как работают сами системы CI / CD и Orchestrator. аутентифицирован в Vault? Или я что-то упускаю?
В конце концов, я хочу, чтобы срок действия secret_id
не истек. Всегда.