Могу ли я использовать Vault как сервис Amazon KMS?

Question

Могу ли я использовать Vault как сервис Amazon KMS?

Я ищу систему, которая позволяет создавать и хранить симметричные мастер-ключи безопасным способом. Одной из таких систем является Amazon KMS, где я могу создать главный личный ключ для каждого пользователя и использовать его для шифрования некоторых данных (например, личных ключей пользователя).

Но мне нужно поддерживать несколько платформ, и поэтому у меня есть вопрос о проекте Vault ( https://www.vaultproject.io/). Это подходящий инструмент для этой задачи?

Я обнаружил, что Vault поддерживает функцию авторизации ( https://www.vaultproject.io/docs/auth/userpass.html), и мне интересно, можно ли интенсивно использовать этот API и хранить 50 тыс. Пользователей или около того?

Сказал, что, похоже, эти сервисы решают разные проблемы, и Vault не должен использоваться как сервис Amazon KMS. Но мне нужно обсудить эту идею с кем-то, чтобы быть полностью уверенным.

Большое спасибо!

0

hashicorp-vault amazon-kms

Источник

user6135922 10 апр '18 в 19:53

1 ответ

Другие вопросы по тегам hashicorp-vault amazon-kms

user2833802 15 май '18 в 05:51 2018-05-15 05:51 · Answer 1 · 2018-05-15 05:51

Вы можете заглянуть в Cubbyhole для Vault. Этот бэкэнд работает как уникальное пространство для каждого токена. Уничтожение токена доступа приводит к удалению всех данных, хранящихся в его свободном пространстве.

Из принципов аутентификации Cubbyhole:

cubbyhole backend это простая абстракция файловой системы, похожая на общий бэкэнд (который монтируется по умолчанию в secret/) с одним важным поворотом: вся файловая система ограничена одним токеном и полностью недоступна для любого другого токена.

Другими словами, не имеет значения, какие политики привязаны к токену, но важно, что сам токен. И только один токен может быть использован для установки или извлечения значений в своей ячейке.