S
понял, так и предполагал
Size: a a a
2019 January 10
AA
А в какой весии это исправлено? Что-то я не догоняю.
AA
С
После 1.0 там что-то появилось по кастомизации ACL, чтобы можно было разрешать менять определённые параметры, например. Но к самим ACL это не относится, они хранятся в виде текста.
С
Я сейчас это решаю плагином. В плагине создаёшь ендпоинт, на ендпоинт даёшь доступ, а обработчик уже создаёт только те политики, которые можно
AA
Расскажи подробнее про плагин.
С
Плагин - это бинарник на Go, регистрируешь в vault, он сам его запускает и общается по своему протоколу. Это всё скрыто от тебя фреймворком - про протокол и т.п. ты не думаешь, пишешь практически обычное REST-приложение - ендпоинты и коллбеки. Vault ему предоставляет storage и сам перенаправляет запросы с точки монтирования.
Доки:
https://www.vaultproject.io/docs/plugin/
https://www.vaultproject.io/docs/internals/plugins.html
Пример пустого плагина:
https://github.com/hashicorp/vault/tree/master/logical/plugin/mock
Фреймворк:
https://godoc.org/github.com/hashicorp/vault/logical/framework
Доки:
https://www.vaultproject.io/docs/plugin/
https://www.vaultproject.io/docs/internals/plugins.html
Пример пустого плагина:
https://github.com/hashicorp/vault/tree/master/logical/plugin/mock
Фреймворк:
https://godoc.org/github.com/hashicorp/vault/logical/framework
AA
Т.е. ты через плагин можешь создавать policy, а плагин валидирует эту policy что-бы ты себе больше прав не выдал?
С
можно и так, но проще параметризовать policy
С
т.е. хранить в плагине шаблоны policy, а пользователю давать менять только параметры и давать доступ только на определённые шаблоны
С
только ещё остаётся вопрос как эту policy потом назначать, т.к. сама по себе политика в вакууме бесполезна
AA
Я хотел сделать что-то подобное отдельным сервисом, даже не подумал, что это можно сделать через систему плагинов. Это полезная информация!
S
а кто-то уже пользовал vault-agent?
2019 January 11
AA
Не могу понять, зачем заставлять создавать только временные токены, а затем делать агента который будет эти токены продлевать.
KO
Секурное секурити
S
чтобы при утечке временного токена его нельзя было долго юзать
AA
А какой рекомендованный ttl и max_ttl для токенов?
S
чем меньше - тем лучше, это уменьшает возможности атакующего, придётся все делать очень быстро
KO
Помню Армон где-то упоминал про полчаса)
S
вообще вся идея волта - то что автоматике пофиг, меняйте токены раз в полчаса, перевыпускайте серты раз в 15 минут