Skip to content
Snippets Groups Projects
Commit 4756b3de authored by Vincent Mazenod's avatar Vincent Mazenod
Browse files

enhance vault

parent 72650d8e
No related branches found
No related tags found
No related merge requests found
Pipeline #3995 passed
......@@ -130,7 +130,7 @@ vault secrets enable -path=cri kv
vault kv enable-versioning cri/ # kv2
```
* les secrets sont versionés
* les secrets sont versionnés
* il est possible d'utiliser PATCH et pas seulement PUT
```shell
......@@ -166,7 +166,7 @@ $ vault login -method=ldap username=vimazeno
```
* par ldap
* en réalité génère un token dans ~/.vault-token contenant
* stocke le token d'authentificayion dans ~/.vault-token
## LDAP
......@@ -223,13 +223,13 @@ $ vault write auth/ldap/groups/cri policies=cri
## Utilisation
* [binaire à télécharger](https://releases.hashicorp.com/vault/)
* cross plateform
* deux variables d'environnement
* $VAULT_ADDR=https://vault.isima.fr
* $VAULT_TOKEN ou authentification ldap
ou
* l'[<i class="fa fa-book" aria-hidden="true"></i> api](https://www.vaultproject.io/api/overview)
* via la ligne de commande
* [binaire à télécharger](https://releases.hashicorp.com/vault/)
* cross plateform
* deux variables d'environnement
* $VAULT_ADDR=https://vault.isima.fr
* $VAULT_TOKEN ou authentification ldap
* via l'[<i class="fa fa-book" aria-hidden="true"></i> api](https://www.vaultproject.io/api/overview)
## Workflow
......@@ -307,7 +307,7 @@ fi
KV=$(vault read cri/my -format=json | python -c "import sys, json; print json.load(sys.stdin)['data'].keys()")
# converison de la liste python en liste bash
VAULT_KEYS=( $(echo ${KV} | sed -r "s/', u'/' '/g" | sed -r "s/\[u'/'/g" | sed -r "s/\]//g") )
# copie du ttemplatye de configuration en fichier de configuration
# copie du template de configuration en fichier de configuration
cp config.sample.py config.py
# itération sur les clés vault
for i in "${VAULT_KEYS[@]}"
......@@ -320,3 +320,18 @@ do
done
```
<!-- .element style="width: 100%;" -->
## avec ansible
* lookup natif [hashi_vault](https://docs.ansible.com/ansible/latest/plugins/lookup/hashi_vault.html)
* lecture uniquement
* pas de support natif pour kv2 à ce jour
* [patch maison](https://gitlab.isima.fr/cri/stack/blob/master/ansible/plugins/module_utils/vault.py)
* module "community" [hashivault](https://github.com/TerryHowe/ansible-modules-hashivault)
* Reading and Writing
* supporte kv2
* Initialization, Seal, and Unseal
* Policy
* User Management
* ...
\ No newline at end of file
0% Loading or .
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment