7. 秘密后端

7.1. 键值后端

Spring Cloud Vault 支持键值秘密后端,即版本化 (v2) 和未版本化 (v1)。 键值后端允许将任意值存储为键值存储。 单个上下文可以存储一个或多个键值元组。 上下文可以按层次结构进行组织。 Spring Cloud Vault 会自行确定秘密是否正在使用版本控制,并将路径映射到其相应的 URL。 Spring Cloud Vault 允许将应用程序名称和默认上下文名称 () 与活动配置文件结合使用。applicationspring-doc.cn

/secret/{application}/{profile}
/secret/{application}
/secret/{default-context}/{profile}
/secret/{default-context}

应用程序名称由以下属性确定:spring-doc.cn

配置文件由以下属性确定:spring-doc.cn

可以通过将 Secret 的路径添加到应用程序名称(以逗号分隔)来从 key-value backend 中的其他上下文中获取。 例如,给定 application name ,将使用以下每个文件夹:usefulapp,mysql1,projectx/awsspring-doc.cn

Spring Cloud Vault 将所有活动配置文件添加到可能的上下文路径列表中。 任何活动配置文件都不会跳过访问具有配置文件名称的上下文。spring-doc.cn

属性的公开方式与存储时一样(即没有额外的前缀)。spring-doc.cn

Spring Cloud Vault 在挂载路径和实际上下文路径之间添加上下文,具体取决于挂载是否使用版本控制的键值后端。data/ 
spring.cloud.vault:
    kv:
        enabled: true
        backend: secret
        profile-separator: '/'
        default-context: application
        application-name: my-app
        profiles: local, cloud

  • enabled将此值设置为禁用 secret 后端配置使用falsespring-doc.cn

  • backend设置要使用的 secret 挂载的路径spring-doc.cn

  • default-context设置所有应用程序使用的上下文名称spring-doc.cn

  • application-name覆盖应用程序名称以在 key-value 后端中使用spring-doc.cn

  • profiles覆盖活动配置文件以在 key-value 后端中使用spring-doc.cn

  • profile-separator使用 Profiles 将 Profile 名称与 Property Sources 中的上下文分开spring-doc.cn

键值密钥后端可以在版本控制 (v2) 和非版本控制 (v1) 模式下运行。

另请参阅:spring-doc.cn

7.2. 领事

Spring Cloud Vault 可以获取 HashiCorp Consul 的凭据。 Consul 集成需要 dependency。spring-cloud-vault-config-consulspring-doc.cn

例 31.pom.xml
<dependencies>
    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-vault-config-consul</artifactId>
        <version>3.0.4</version>
    </dependency>
</dependencies>

可以通过设置 (default ) 并为角色名称提供 来启用集成。spring.cloud.vault.consul.enabled=truefalsespring.cloud.vault.consul.role=…spring-doc.cn

获取的令牌存储在其中,因此使用 Spring Cloud Consul 无需进一步配置即可获取生成的凭据。 您可以通过设置 来配置属性名称。spring.cloud.consul.tokenspring.cloud.vault.consul.token-propertyspring-doc.cn

spring.cloud.vault:
    consul:
        enabled: true
        role: readonly
        backend: consul
        token-property: spring.cloud.consul.token

  • enabled将此值设置为启用 Consul 后端配置使用truespring-doc.cn

  • role设置 Consul 角色定义的角色名称spring-doc.cn

  • backend设置要使用的 Consul 挂载的路径spring-doc.cn

  • token-property设置存储 Consul ACL 令牌的属性名称spring-doc.cn

另请参阅:Vault 文档:使用 Vault 设置 Consulspring-doc.cn

7.3. RabbitMQ

Spring Cloud Vault 可以获取 RabbitMQ 的凭据。spring-doc.cn

RabbitMQ 集成需要依赖项。spring-cloud-vault-config-rabbitmqspring-doc.cn

例 32.pom.xml
<dependencies>
    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-vault-config-rabbitmq</artifactId>
        <version>3.0.4</version>
    </dependency>
</dependencies>

可以通过设置 (default ) 并为角色名称提供 来启用集成。spring.cloud.vault.rabbitmq.enabled=truefalsespring.cloud.vault.rabbitmq.role=…spring-doc.cn

用户名和密码存储在其中,因此使用 Spring Boot 将获取生成的凭据,而无需进一步配置。 您可以通过设置 和 来配置属性名称。spring.rabbitmq.usernamespring.rabbitmq.passwordspring.cloud.vault.rabbitmq.username-propertyspring.cloud.vault.rabbitmq.password-propertyspring-doc.cn

spring.cloud.vault:
    rabbitmq:
        enabled: true
        role: readonly
        backend: rabbitmq
        username-property: spring.rabbitmq.username
        password-property: spring.rabbitmq.password

  • enabled将此值设置为启用 RabbitMQ 后端配置使用truespring-doc.cn

  • role设置 RabbitMQ 角色定义的角色名称spring-doc.cn

  • backend设置要使用的 RabbitMQ 挂载的路径spring-doc.cn

  • username-property设置存储 RabbitMQ 用户名的属性名称spring-doc.cn

  • password-property设置存储 RabbitMQ 密码的属性名称spring-doc.cn

另见:Vault 文档:使用 Vault 设置 RabbitMQspring-doc.cn

7.4. AWS

Spring Cloud Vault 可以获取 AWS 的凭证。spring-doc.cn

AWS 集成需要依赖项。spring-cloud-vault-config-awsspring-doc.cn

例 33.pom.xml
<dependencies>
    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-vault-config-aws</artifactId>
        <version>3.0.4</version>
    </dependency>
</dependencies>

可以通过设置 (default ) 并为角色名称提供 来启用集成。spring.cloud.vault.aws=truefalsespring.cloud.vault.aws.role=…spring-doc.cn

支持的 AWS 凭证类型:spring-doc.cn

访问密钥和密钥存储在 和 中。因此,使用 Spring Cloud,AWS 将获取生成的凭证,而无需进一步配置。cloud.aws.credentials.accessKeycloud.aws.credentials.secretKeyspring-doc.cn

您可以通过设置 和 来配置属性名称。spring.cloud.vault.aws.access-key-propertyspring.cloud.vault.aws.secret-key-propertyspring-doc.cn

对于 STS 安全令牌,您可以通过设置 来配置属性名称。安全令牌存储在 (defaults) 下。spring.cloud.vault.aws.session-token-key-propertycloud.aws.credentials.sessionTokenspring-doc.cn

示例:iam_userspring-doc.cn

spring.cloud.vault:
    aws:
        enabled: true
        role: readonly
        backend: aws
        access-key-property: cloud.aws.credentials.accessKey
        secret-key-property: cloud.aws.credentials.secretKey

示例:assumed_role (STS)spring-doc.cn

spring.cloud.vault:
    aws:
        enabled: true
        role: sts-vault-role
        backend: aws
        credential-type: assumed_role
        access-key-property: cloud.aws.credentials.accessKey
        secret-key-property: cloud.aws.credentials.secretKey
        session-token-key-property: cloud.aws.credentials.sessionToken
        ttl: 3600s
        role-arn: arn:aws:iam::${AWS_ACCOUNT}:role/sts-app-role

  • enabled将此值设置为启用 AWS 后端配置使用truespring-doc.cn

  • role设置 AWS 角色定义的角色名称spring-doc.cn

  • backend设置要使用的 AWS 挂载的路径spring-doc.cn

  • access-key-property设置存储 AWS 访问密钥的属性名称spring-doc.cn

  • secret-key-property设置存储 AWS Secret Key 的属性名称spring-doc.cn

  • session-token-key-property设置存储 AWS STS 安全令牌的属性名称。spring-doc.cn

  • credential-type设置用于此后端的 AWS 凭证类型。默认为iam_userspring-doc.cn

  • ttl在使用 或 时设置 STS 令牌的 TTL。默认为 vault 角色指定的 ttl。最小值/最大值也仅限于 AWS 对 STS 的支持值。assumed_rolefederation_tokenspring-doc.cn

  • role-arn在使用 .assumed_rolespring-doc.cn

另请参阅:Vault 文档:使用 Vault 设置 AWSspring-doc.cn