Передача через response wrapping vault
Передаёт секрет одноразовым wrapping-токеном; примечание: повторное чтение — сигнал компрометации
T=$(vault kv get -wrap-ttl=60s -field=wrapping_token -mount=secret app); vault unwrap $T
more vault
all 31 commands →
Проверить права токена на путь
vault token capabilities database/creds/readonly
Отозвать динамический lease
vault lease revoke -prefix database/creds/readonly
Войти с токеном
vault login <token>
Войти через AppRole
vault write auth/approle/login role_id=<role> secret_id=<secret>
Получить секрет KV
vault kv get -mount=secret path/to/secret