Administration de vault prise en main de kv engine
Administration de vault prise en main
-
- Secret Engine: kv
- Policies
- Auth userpass et roles
Secret Engine : KV (Key-Value)
Vault propose plusieurs moteurs de stockage de secrets, appelés Secret Engines. L'un des plus couramment utilisés est le moteur KV (Key-Value), qui permet de stocker des paires clé-valeur de manière sécurisée.
- Activation du Secret Engine KV
Par défaut, Vault ne monte aucun moteur KV. Pour activer un moteur KV sur un path donné :
Sur l'ui de vault: Secrets engines > Enable a Secrets Engine > kv et renseigner le path

- Écriture et Lecture de Secrets
Pour stocker un secret dans Vault :
Clic sur l'engine techledger-dev > Cretae secret

Renseigner un path pour le secret par exemple: app-name/kind

On peut voir les détails du secret

-
Gestion des Policies (Politiques d'Accès)
Vault utilise un système de policies (politiques) pour définir les autorisations des utilisateurs et des applications. Une policy spécifie les permissions associées à un ensemble d'opérations sur des chemins spécifiques.
-
- Création d'une Policy
Un exemple de policy pour un accès en lecture seule au moteur KV techledger-dev:
Dans l'ui clic sur policies > create ACL policy
path "techledger-dev/*" {
capabilities = ["read", "list"]
}

Cette policy appélé p-echledger-dev autorise tous les secret du kv techledger-dev en lecture seule.
Exemple de template de policies hcl pour donner les droits admin à un utilisateur.
# Read system health check
path "sys/health"
{
capabilities = ["read", "sudo"]
}
# Create and manage ACL policies broadly across Vault
# List existing policies
path "sys/policies/acl"
{
capabilities = ["list"]
}
# Create and manage ACL policies
path "sys/policies/acl/*"
{
capabilities = ["create", "read", "update", "delete", "list", "sudo"]
}
# Enable and manage authentication methods broadly across Vault
# Manage auth methods broadly across Vault
path "auth/*"
{
capabilities = ["create", "read", "update", "delete", "list", "sudo"]
}
# Create, update, and delete auth methods
path "sys/auth/*"
{
capabilities = ["create", "update", "delete", "sudo"]
}
# List auth methods
path "sys/auth"
{
capabilities = ["read"]
}
# Enable and manage the key/value secrets engine at `secret/` path
# List, create, update, and delete key/value secrets
path "secret/*"
{
capabilities = ["create", "read", "update", "delete", "list", "sudo"]
}
# Manage secrets engines
path "sys/mounts/*"
{
capabilities = ["create", "read", "update", "delete", "list", "sudo"]
}
# List existing secrets engines.
path "sys/mounts"
{
capabilities = ["read"]
}
- Authentification avec Userpass et Gestion des Rôles
Vault propose plusieurs méthodes d'authentification, dont Userpass, qui permet d'authentifier les utilisateurs avec un login et un mot de passe.
-
- Activation du Backend Userpass
Clic sur acces> authentication method > enable new method > username & password
On peut renommer le path comme laisse telquel

Ensuite clic sur userpass > create new
renseigner le nom, un mot de passe fort et derouler token puis renseigner le Generated Token's Policies


Une fois save, deconnecter et reconnecter avec la methode userpass.

On voit bien que le user get-secret à acces au secret en lecture seule.

Commentaires
Aucun commentaire pour le moment.
