Удалить секрет после аренды

Question

Удалить секрет после аренды

Я начинаю использовать хранилище, и когда я добавляю секрет в хранилище, я передаю аренду = 10 с, но после 10 с секрет не удаляется. Как я могу извлечь секрет из хранилища?

vault write -address=http://localhost:8200 secret/foo name=foo lease=10s
Success! Data written to: secret/foo

vault read -address=http://localhost:8200 -format=json secret/foo
{
        "request_id": "498db605-a238-2d99-2e36-7045c826f48d",
        "lease_id": "",
        "lease_duration": 10,
        "renewable": false,
        "data": {
                "lease": "10s",
                "name": "foo"
        },
        "warnings": null
}

1

hashicorp-vault vault spring-vault

Источник

user8484943 19 дек '17 в 16:35

1 ответ

Решение

Другие вопросы по тегам hashicorp-vault vault spring-vault

user3645911 08 фев '18 в 04:52 2018-02-08 04:52 · Accepted Answer · 2018-02-08 04:52

TTL для секретов на секретном бэкэнде KV на самом деле не было для удаления секрета, это было скорее консультативное поле для того, что бы извлекать секрет: https://www.vaultproject.io/docs/secrets/kv/index.html

В отличие от других механизмов секретности, механизм секретности KV не применяет TTL для истечения срока действия. Вместо этого, lease_duration - это подсказка о том, как часто потребители должны проверять новое значение. Это обычно отображается как refresh_interval вместо lease_duration, чтобы уточнить это в выходных данных.
Даже если ttl установлен, механизм секретов никогда не удаляет данные самостоятельно. Клавиша ttl носит рекомендательный характер.

Возможно, вы сможете использовать кубовые дыры, чтобы навязать TTL для некоторого секрета, как только срок действия токена истечет, и кубическая дыра будет уничтожена. Каждая ячейка ограничена только тем токеном, который ее использует, и никакие 2 токена не могут получить доступ к каждой другой ячейке: https://www.vaultproject.io/docs/secrets/cubbyhole/index.html