如何从bash脚本中访问Hasicorp Vault中的秘密

54次阅读
没有评论

问题描述

希望在bash脚本中访问Hasicorp Vault中的秘密,并将其用作脚本中的变量。他已经将Vault服务器设置为通过DNS(本地)进行访问,并使用curl进行测试。他希望知道如何在bash脚本中获取秘密并将其用于脚本操作。

解决方案

请注意以下操作注意版本差异及修改前做好备份。

方案1:使用Vault CLI读取秘密

你可以使用Vault命令行界面(CLI)来从Vault服务器中读取秘密。Vault CLI提供了方便的命令,可以帮助你获取秘密并在bash脚本中使用。

以下是在bash脚本中获取秘密的步骤:

  1. 安装Vault CLI,你可以在Vault官方网站找到安装指南。
  2. 在bash脚本中使用Vault CLI命令来获取秘密。

以下是一个获取秘密并将其存储为变量的bash脚本示例:

#!/bin/bash

# 设置Vault服务器地址和Token
export VAULT_ADDR=https://address.of.vault.server
export VAULT_TOKEN=your_vault_token

# 使用Vault CLI命令来获取秘密,并将结果存储为变量
SECRET=$(vault kv get -field secret_key path/to/secret)

# 现在你可以在脚本中使用$SECRET变量来访问秘密的值
echo "The secret value is: $SECRET"

在上面的示例中,我们首先设置了Vault服务器的地址和Token,然后使用vault kv get命令获取指定路径的秘密,将其存储为名为SECRET的变量,最后在脚本中使用该变量来访问秘密的值。

方案2:使用Curl和JQ解析秘密

如果你决定继续使用curl来获取秘密,同时希望更好地解析JSON响应,你可以使用JQ工具。

以下是在bash脚本中使用curl和JQ解析秘密的步骤:

  1. 安装JQ工具,你可以在JQ官方网站找到安装指南。
  2. 在bash脚本中使用curl命令获取秘密,并使用JQ解析JSON响应。

以下是一个使用curl和JQ解析秘密的bash脚本示例:

#!/bin/bash

# 使用curl命令获取秘密的JSON响应,并使用JQ解析秘密值
SECRET_JSON=$(curl -sH "X-Vault-Token: YOUR_VAULT_TOKEN" -X GET VAULT_URL/v1/secret/SECRET)
SECRET_VALUE=$(echo $SECRET_JSON | jq -r '.data.value')

# 现在你可以在脚本中使用$SECRET_VALUE变量来访问秘密的值
echo "The secret value is: $SECRET_VALUE"

在上面的示例中,我们使用curl命令获取秘密的JSON响应,然后使用JQ解析JSON响应并提取秘密值,将其存储为名为SECRET_VALUE的变量,最后在脚本中使用该变量来访问秘密的值。

方案3:使用子令牌(Token)访问Vault

如果需要更严格的安全性和访问控制,你可以考虑使用子令牌来访问Vault。子令牌是具有有限权限的令牌,可以用于特定的任务,而无需透露根令牌。

以下是使用子令牌访问Vault的步骤:

  1. 在Vault服务器上创建一个新的策略,限制对秘密的访问权限。
  2. 使用该策略创建一个子令牌,用于在bash脚本中访问秘密。

以下是一个使用子令牌访问Vault的bash脚本示例:

#!/bin/bash

# 设置Vault服务器地址和根令牌
export VAULT_ADDR=https://address.of.vault.server
export VAULT_TOKEN=your_root_token

# 创建一个新的策略,限制对秘密的访问权限
vault policy write limited-access - <<EOF
path "secret/PATH_TO_SECRET/*" {
  capabilities = ["read"]
}
EOF

# 创建一个子令牌,使用新的策略
CHILD_TOKEN=$(vault token create -policy=limited-access -period=1h -format=json | jq -r '.auth.client_token')

# 使用子令牌来获取秘密的值
SECRET_VALUE=$(curl -sH "X-Vault-Token: $CHILD_TOKEN" -X GET VAULT_URL/v1/secret/PATH_TO_SECRET/SECRET_KEY | jq -r '.data.value')

# 现在你可以在脚本中使用$SECRET_VALUE变量来访问秘密的值
echo "The secret value is: $SECRET_VALUE"

在上面的示例中,我们首先创建一个新的策略,限制对秘密的访问权限。然后使用vault token create命令创建一个具有限制权限的子令牌,将其存储为名为CHILD_TOKEN的变量。最后,我们使用子令牌来获取秘密的值,并将其存储为名为SECRET_VALUE的变量。

请注意,以上示例中的PATH_TO_SECRETSECRET_KEY需要根据你的实际情况进行替换。

无论你选择哪种方案,都可以根据自己的需求来决定如何在bash脚本中获取和使用Vault中的秘密。在使用Vault时,请确保你的实施符合最佳安全实践,并适当地管理访问权限和令牌。

正文完
devops 运维
发表至: 运维问题
2023-11-06
 
在DevSecOps流水线中进行软件安全测试
将Windows Authenticode签名过程迁移到云端的成本效益与安全风险
使用 AWS CLI 以及 JSON 文件进行身份验证
使用 systemd 还是 docker-compose 来替代 Upstart 以保持 Docker 容器在系统上运行
androiddevopsiphone移动端运维
-「
最新文章