Spring Cloud Vault AWS-EC2身份驗(yàn)證

2024-01-03 17:36 更新

AWS-EC2 AUTH后端提供了一個(gè)安全導(dǎo)入機(jī)構(gòu)為AWS EC2實(shí)例,允許的Vault令牌自動(dòng)檢索。與大多數(shù)Vault身份驗(yàn)證后端不同,此后端不需要先部署或設(shè)置安全敏感的憑據(jù)(令牌,用戶名/密碼,客戶端證書(shū)等)。而是將AWS視為受信任的第三方,并使用經(jīng)過(guò)加密簽名的動(dòng)態(tài)元數(shù)據(jù)信息來(lái)唯一表示每個(gè)EC2實(shí)例。

示例102.8 使用AWS-EC2身份驗(yàn)證的bootstrap.yml

spring.cloud.vault:
    authentication: AWS_EC2

AWS-EC2身份驗(yàn)證默認(rèn)使隨機(jī)數(shù)遵循首次使用信任(TOFU)原則。任何可以訪問(wèn)PKCS#7身份元數(shù)據(jù)的意外用戶都可以針對(duì)Vault進(jìn)行身份驗(yàn)證。

在首次登錄期間,Spring Cloud Vault生成一個(gè)隨機(jī)數(shù),該隨機(jī)數(shù)存儲(chǔ)在auth后端中,與實(shí)例ID無(wú)關(guān)。重新認(rèn)證要求發(fā)送相同的隨機(jī)數(shù)。任何其他方都沒(méi)有隨機(jī)數(shù),可以在Vault中發(fā)出警報(bào)以進(jìn)行進(jìn)一步調(diào)查。

隨機(jī)數(shù)保留在內(nèi)存中,在應(yīng)用程序重新啟動(dòng)期間丟失。您可以使用spring.cloud.vault.aws-ec2.nonce配置靜態(tài)隨機(jī)數(shù)。

AWS-EC2身份驗(yàn)證角色是可選的,默認(rèn)為AMI。您可以通過(guò)設(shè)置spring.cloud.vault.aws-ec2.role屬性來(lái)配置身份驗(yàn)證角色。

示例102.9 具有配置角色的bo??otstrap.yml

spring.cloud.vault:
    authentication: AWS_EC2
    aws-ec2:
        role: application-server

示例102.10 具有所有AWS EC2身份驗(yàn)證屬性的bootstrap.yml

spring.cloud.vault:
    authentication: AWS_EC2
    aws-ec2:
        role: application-server
        aws-ec2-path: aws-ec2
        identity-document: http://...
        nonce: my-static-nonce

  • authentication將此值設(shè)置為AWS_EC2會(huì)選擇AWS EC2身份驗(yàn)證方法
  • role設(shè)置嘗試進(jìn)行登錄的角色的名稱。
  • aws-ec2-path設(shè)置要使用的AWS EC2安裝的路徑
  • identity-document設(shè)置PKCS#7 AWS EC2身份文檔的URL
  • nonce用于AWS-EC2身份驗(yàn)證。空隨機(jī)數(shù)默認(rèn)為隨機(jī)數(shù)生成

另請(qǐng)參閱:Vault文檔:使用aws auth后端

以上內(nèi)容是否對(duì)您有幫助:
在線筆記
App下載
App下載

掃描二維碼

下載編程獅App

公眾號(hào)
微信公眾號(hào)

編程獅公眾號(hào)