vault

31 commands

31 shown

Войти с токеном Авторизоваться в Vault с токеном vault login <token> #vault Войти через AppRole Авторизоваться через AppRole метод аутентификации vault write auth/approle/login role_id=<role> secret_id=<secret> #vault Получить секрет KV Прочитать секрет KV v2; добавьте -format=json для скриптов vault kv get -mount=secret path/to/secret #vault#secrets Записать секрет KV Записать или обновить секрет KV v2 vault kv put -mount=secret path/to/secret key=value #vault#secrets Список секретов KV Перечислить все ключи по KV пути vault kv list -mount=secret path/to/ #vault#secrets Удалить секрет KV Мягкое удаление последней версии KV секрета vault kv delete -mount=secret path/to/secret #vault#secrets История версий секрета Все версии, даты создания, статус удаления vault kv metadata get -mount=secret path/to/secret #vault#secrets Создать токен с политикой Выпустить краткосрочный токен ограниченный политикой vault token create -policy=read-only -ttl=1h #vault Методы аутентификации Все включённые методы аутентификации в Vault vault auth list #vault Включить Kubernetes auth Включить и настроить Kubernetes метод аутентификации vault auth enable kubernetes && vault write auth/kubernetes/config kubernetes_host=https://$KUBERNETES_PORT_443_TCP_ADDR:443 #vault#config Создать Kubernetes роль Привязать ServiceAccount к политике Vault vault write auth/kubernetes/role/my-role bound_service_account_names=<sa> bound_service_account_namespaces=<ns> policies=<policy> ttl=1h #vault#config Создать политику Загрузить HCL файл политики в Vault vault policy write my-policy policy.hcl #vault#config Список политик Все политики в Vault vault policy list #vault Включить secrets engine Подключить новый secrets engine по указанному пути vault secrets enable -path=myapp kv-v2 #vault#config Transit шифрование Зашифровать данные через transit engine Vault vault write transit/encrypt/my-key plaintext=$(echo -n 'secret' | base64) #vault#secrets Transit расшифровка Расшифровать ciphertext через transit engine vault write transit/decrypt/my-key ciphertext=vault:v1:... | base64 -d #vault#secrets Информация о текущем токене TTL, политики и права текущего токена vault token lookup #vault Продлить токен Продлить TTL текущего токена vault token renew #vault Статус Vault Статус запечатки, режим HA, информация о кластере vault status #vault#debug Включить KV v2 secrets engine Подключить KV v2 secrets engine на пути 'secret/' vault secrets enable -path=secret kv-v2 #vault#security Записать секрет Сохранить несколько пар ключ-значение по пути vault kv put secret/myapp/config db_password=s3cr3t api_key=abc123 #vault#security Прочитать секрет Прочитать KV v2 секрет и извлечь данные vault kv get -format=json secret/myapp/config | jq '.data.data' #vault#security Список секретов по пути Список всех ключей под префиксом KV v2 vault kv list secret/myapp/ #vault#security Создать периодический токен Выпустить обновляемый токен с TTL 24ч для CI vault token create -policy=read-only -period=24h -display-name=ci-pipeline #vault#security#ci Включить Kubernetes auth Разрешить подам аутентифицироваться в Vault через ServiceAccount JWT vault auth enable kubernetes && vault write auth/kubernetes/config kubernetes_host=https://kubernetes.default.svc #vault#security#kubectl Сгенерировать динамические DB credentials Получить краткосрочные Postgres credentials через database secrets engine vault read database/creds/readonly-role #vault#security#postgres Запечатать / распечатать Vault Вручную запечатать или распечатать Vault ключом vault operator seal vault operator unseal $UNSEAL_KEY #vault#security Точечно изменить поле KV Обновляет одно поле, не переписывая весь секрет; примечание: kv patch требует KV-v2 vault kv patch -mount=secret app api_key=<id> #vault#secrets#troubleshooting Передача через response wrapping Передаёт секрет одноразовым wrapping-токеном; примечание: повторное чтение — сигнал компрометации T=$(vault kv get -wrap-ttl=60s -field=wrapping_token -mount=secret app); vault unwrap $T #vault#secrets#security#troubleshooting Проверить права токена на путь Показывает действующие ACL-права текущего токена на пути; быстрый дебаг политик vault token capabilities database/creds/readonly #vault#security#troubleshooting#observability Отозвать динамический lease Отзывает все lease под префиксом, мгновенно убивая утёкшие динамические креды БД vault lease revoke -prefix database/creds/readonly #vault#security#troubleshooting#secrets
no commands match