問題タブ [spring-vault]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
spring-boot - spring-vault で複数の ClientAuthentiation を使用する
spring-vaultを使用したアプリケーションがあります。AppRole を使用して Vault に対して認証します。その操作から取得したトークンを使用して、シークレットを読み書きします。VaultEndpointおよびの構成AppRoleAuthenticationは、プロパティ ファイルから自動構成されます。
コードは次のようになります。
autowire 機能を維持したいのですが、他の 2 つの ClientAuthentication 実装もサポートしています。
- 既存の
TokenAuthentication - カスタム
ClientAuthentication実装 (LDAP 認証バックエンド)
最終的には、2 つの認証メカニズムを同時に使用できるようになります。アプリケーションの資格情報 (Vault 内の AppRole) を使用して実行される操作もあれば、ユーザーの資格情報 (Vault 内の LDAP) を使用する操作もあります。
それぞれが異なる派生物AbstractVaultConfigurationを返す複数のクラスを作成できると思います。ClientAuthenticationしかし、構成クラスの VaultTemplate を作成するにはどうすればよいですか?
spring-boot - Spring Cloud Config with Git/Vault backend - token passthrough
Instead of giving an AppRole or Static Token for Spring Cloud Config Server to access ALL secrets across ALL applications, is it possible to configure Spring Cloud Vault Config to utilize a given token on the request for the configuration?
This communication would be over 2-way SSL with the token in the headers. Not ideal to send such a token outward but seems the proper solution in this scenario.
Keep in mind this is a Spring Cloud Config Server using Git + Vault as backends in order to resolve secrets, variables, etc, into the desired configurations. This would not only be used for Spring Configurations but other files delivered to an ephemeral environment, such as an httpd.conf for Apache (bad example to shove secrets into)
Goal here is to limit access where possible and keeping it limited to the end-application requesting the configuration. Also nice to not duplicate RBAC efforts with AuthZ on Spring Config AND Vault policies.