إدارة Vault والأسرار¶
نظرة عامة¶
يصف هذا المستند ممارسات إدارة الأسرار في BrainSAIT باستخدام HashiCorp Vault وأدوات أخرى للتخزين والتوزيع الآمن لبيانات الاعتماد.
البنية¶
نشر Vault¶
- مجموعة عالية التوفر
- فك التشفير التلقائي (cloud KMS)
- تسجيل التدقيق
- استرداد الكوارث
أنواع الأسرار¶
- بيانات اعتماد قواعد البيانات
- مفاتيح API
- شهادات TLS
- مفاتيح التشفير
- رموز OAuth
دورة حياة الأسرار¶
الإنشاء¶
- إنشاء سر آمن
- التخزين في Vault
- تعيين سياسات الوصول
- تكوين التدوير
التوزيع¶
- الأسرار الديناميكية
- الرموز قصيرة العمر
- الوصول في الوقت المناسب
التدوير¶
- التدوير التلقائي
- بدون وقت توقف
- مسار التدقيق
التكوين¶
سياسة Vault¶
path "secret/data/production/*" {
capabilities = ["read"]
}
path "database/creds/readonly" {
capabilities = ["read"]
}
تكامل Kubernetes¶
vault.hashicorp.com/agent-inject: "true"
vault.hashicorp.com/role: "myapp"
vault.hashicorp.com/agent-inject-secret-db: "database/creds/myapp"
المستندات ذات الصلة¶
آخر تحديث: يناير 2025