Aller au contenu principal
Sommaire de la formation

Administration de vault prise en main de kv engine

coolibra318 vues

Administration de vault prise en main

    • Secret Engine: kv
    • Policies
    • Auth userpass et roles

 

Secret Engine : KV (Key-Value)

Vault propose plusieurs moteurs de stockage de secrets, appelés Secret Engines. L'un des plus couramment utilisés est le moteur KV (Key-Value), qui permet de stocker des paires clé-valeur de manière sécurisée.

 

  • Activation du Secret Engine KV

Par défaut, Vault ne monte aucun moteur KV. Pour activer un moteur KV sur un path donné :

Sur l'ui de vault: Secrets engines > Enable a Secrets Engine > kv et renseigner le path

 

  • Écriture et Lecture de Secrets

Pour stocker un secret dans Vault :

Clic sur l'engine techledger-dev > Cretae secret

Renseigner un path pour le secret par exemple: app-name/kind

On peut voir les détails du secret

 

  • Gestion des Policies (Politiques d'Accès)

Vault utilise un système de policies (politiques) pour définir les autorisations des utilisateurs et des applications. Une policy spécifie les permissions associées à un ensemble d'opérations sur des chemins spécifiques.

    • Création d'une Policy

Un exemple de policy pour un accès en lecture seule au moteur KV  techledger-dev: 

Dans l'ui clic sur policies > create ACL policy

path "techledger-dev/*" {
  capabilities = ["read", "list"]
}

 

 

Cette policy appélé p-echledger-dev autorise tous les secret du kv techledger-dev en lecture seule.

Exemple de template de policies hcl pour donner les droits admin à un utilisateur.

# Read system health check
path "sys/health"
{
  capabilities = ["read", "sudo"]
}

# Create and manage ACL policies broadly across Vault

# List existing policies
path "sys/policies/acl"
{
  capabilities = ["list"]
}

# Create and manage ACL policies
path "sys/policies/acl/*"
{
  capabilities = ["create", "read", "update", "delete", "list", "sudo"]
}

# Enable and manage authentication methods broadly across Vault

# Manage auth methods broadly across Vault
path "auth/*"
{
  capabilities = ["create", "read", "update", "delete", "list", "sudo"]
}

# Create, update, and delete auth methods
path "sys/auth/*"
{
  capabilities = ["create", "update", "delete", "sudo"]
}

# List auth methods
path "sys/auth"
{
  capabilities = ["read"]
}

# Enable and manage the key/value secrets engine at `secret/` path

# List, create, update, and delete key/value secrets
path "secret/*"
{
  capabilities = ["create", "read", "update", "delete", "list", "sudo"]
}

# Manage secrets engines
path "sys/mounts/*"
{
  capabilities = ["create", "read", "update", "delete", "list", "sudo"]
}

# List existing secrets engines.
path "sys/mounts"
{
  capabilities = ["read"]
}

 

  • Authentification avec Userpass et Gestion des Rôles

Vault propose plusieurs méthodes d'authentification, dont Userpass, qui permet d'authentifier les utilisateurs avec un login et un mot de passe.

    • Activation du Backend Userpass

Clic sur acces> authentication method > enable new method > username & password

On peut renommer le path comme laisse telquel

 

Ensuite clic sur userpass > create new

renseigner le nom, un mot de passe fort et derouler token puis renseigner le Generated Token's Policies

 

Une fois save, deconnecter et reconnecter avec la methode userpass.

 

On voit bien que le user get-secret à acces au secret en lecture seule.

 

 

 

Commentaires

Connectez-vous pour rejoindre la discussion.

Aucun commentaire pour le moment.