vault
31 commands
31 shown
Войти с токеном
Авторизоваться в Vault с токеном
vault login <token>
Войти через AppRole
Авторизоваться через AppRole метод аутентификации
vault write auth/approle/login role_id=<role> secret_id=<secret>
Получить секрет KV
Прочитать секрет KV v2; добавьте -format=json для скриптов
vault kv get -mount=secret path/to/secret
Записать секрет KV
Записать или обновить секрет KV v2
vault kv put -mount=secret path/to/secret key=value
Список секретов KV
Перечислить все ключи по KV пути
vault kv list -mount=secret path/to/
Удалить секрет KV
Мягкое удаление последней версии KV секрета
vault kv delete -mount=secret path/to/secret
История версий секрета
Все версии, даты создания, статус удаления
vault kv metadata get -mount=secret path/to/secret
Создать токен с политикой
Выпустить краткосрочный токен ограниченный политикой
vault token create -policy=read-only -ttl=1h
Методы аутентификации
Все включённые методы аутентификации в Vault
vault auth list
Включить Kubernetes auth
Включить и настроить Kubernetes метод аутентификации
vault auth enable kubernetes && vault write auth/kubernetes/config kubernetes_host=https://$KUBERNETES_PORT_443_TCP_ADDR:443
Создать Kubernetes роль
Привязать ServiceAccount к политике Vault
vault write auth/kubernetes/role/my-role bound_service_account_names=<sa> bound_service_account_namespaces=<ns> policies=<policy> ttl=1h
Создать политику
Загрузить HCL файл политики в Vault
vault policy write my-policy policy.hcl
Список политик
Все политики в Vault
vault policy list
Включить secrets engine
Подключить новый secrets engine по указанному пути
vault secrets enable -path=myapp kv-v2
Transit шифрование
Зашифровать данные через transit engine Vault
vault write transit/encrypt/my-key plaintext=$(echo -n 'secret' | base64)
Transit расшифровка
Расшифровать ciphertext через transit engine
vault write transit/decrypt/my-key ciphertext=vault:v1:... | base64 -d
Информация о текущем токене
TTL, политики и права текущего токена
vault token lookup
Продлить токен
Продлить TTL текущего токена
vault token renew
Статус Vault
Статус запечатки, режим HA, информация о кластере
vault status
Включить KV v2 secrets engine
Подключить KV v2 secrets engine на пути 'secret/'
vault secrets enable -path=secret kv-v2
Записать секрет
Сохранить несколько пар ключ-значение по пути
vault kv put secret/myapp/config db_password=s3cr3t api_key=abc123
Прочитать секрет
Прочитать KV v2 секрет и извлечь данные
vault kv get -format=json secret/myapp/config | jq '.data.data'
Список секретов по пути
Список всех ключей под префиксом KV v2
vault kv list secret/myapp/
Создать периодический токен
Выпустить обновляемый токен с TTL 24ч для CI
vault token create -policy=read-only -period=24h -display-name=ci-pipeline
Включить Kubernetes auth
Разрешить подам аутентифицироваться в Vault через ServiceAccount JWT
vault auth enable kubernetes && vault write auth/kubernetes/config kubernetes_host=https://kubernetes.default.svc
Сгенерировать динамические DB credentials
Получить краткосрочные Postgres credentials через database secrets engine
vault read database/creds/readonly-role
Запечатать / распечатать Vault
Вручную запечатать или распечатать Vault ключом
vault operator seal
vault operator unseal $UNSEAL_KEY
Точечно изменить поле KV
Обновляет одно поле, не переписывая весь секрет; примечание: kv patch требует KV-v2
vault kv patch -mount=secret app api_key=<id>
Передача через response wrapping
Передаёт секрет одноразовым wrapping-токеном; примечание: повторное чтение — сигнал компрометации
T=$(vault kv get -wrap-ttl=60s -field=wrapping_token -mount=secret app); vault unwrap $T
Проверить права токена на путь
Показывает действующие ACL-права текущего токена на пути; быстрый дебаг политик
vault token capabilities database/creds/readonly
Отозвать динамический lease
Отзывает все lease под префиксом, мгновенно убивая утёкшие динамические креды БД
vault lease revoke -prefix database/creds/readonly
no commands match