глобальный максимальный ttl для каждого маунта 720 часов, чтобы сделать больше, придётся тюнить

а ещё в новой версии появились batch-токены как раз для долгоиграющих задач

Советчик и СБшник из меня тот ещё.
userpass и сервисная УЗ. Каждая сборка в дженкинсе авторизуется и получает нужные данные и отдаёт приложению, зачем тогда волт, или креды для приложения, типа role-id и secret-id. Приложение по ним авторизуется раз и далее либо, если токен периодический обновляет раз в интервал времени свой токен, либо получает новый secret-id и переавторизуется.

Лично я сейчас копаю в сторону approle с батч токенами.
Отдаю приложению secret-id который можно использовать только раз. Далее приложение само по рассписанию переавторизуется до того как токен истёк. Если приложение перезапустить - само не поднимется.

https://learn.hashicorp.com/vault/secrets-management/tokens

approle точно такой же auth-бекенд, как все остальные, он должен авторизовать, в том числе через curl, если правильно дать параметры

Не согласен про долгоиграющие задачи.
Батч токен не может быть продлён, и не может быть периодическим. Но он много безопаснее, т.к. почти ничего не может.

В смысле обычный сервисный токен может быть периодическим и пока приожение обновляет его - токен жив вечность

А вот нужно чтобы поднималось :(
Свет моргнул, OOM, что угодно..

Я пока больше на инфраструктуру волта трачу, а не на то как им пользоваться. Поэтому не готов сказать алгоритм при котором приложение всегда сможет авторизоваться и пережить падение, а всякие левые приложения не получат никаких лишних доступов.

Если большая инфраструктура, мб есть смысл написать какой-то свой демон авторизации, который будет проверять что приложение действительно может получить свой secret-id и будет выдавать доступ.

Через апи approle даёт авторизоваться, а веб и клиент - нет

я просто выписываю токен и прописываю в отдельный kv-mount, по которому ходит  специально обученный продлеватор и делает renew

Хранишь токен в kv ?

угу

Т.к. я токен отдаю всяким другим - админам, владельцам сервисов и т.п., они люди ранимые и часто не готовы к тому, что он будет меняться. Если я буду принуждать их его менять или перечитывать, есть риск, что они вообще забьют хранить секреты в vault.

Мб так норм, но мне не нравится идея хранить токены приложений в самом волте и тем более генерить динамические KV и политики чтобы кто попало не увидел чужие данные.

А, понял. Мне больше везёт, разрабы сами готовы запилить интеграцию с волтом и автоматизация во все поля.

UPD: И я очень не люблю знать чужие секреты, и тем более рассказывать свои.

Вот у меня такая же ситуация. Даже люди которые заинтересованы хранить пароли правильно, заходят в Волт и пугаются.
Поэтому если не будет простого и понятного способа работать с Волтом, народ так и будет свои пароли где попало хранить.

Волт ведь через апи отлично работает. Проблемы только с их HCL в json, если вы сами конфиги правите, а секреты отдаются шикарно

@yshutkin ты тоже в Тинькове работаешь?

С какой целью вопрос ?

Если что я не только в работе использую волт, но и на своих серверах. В ближайшем будущем хочу прикрутить PKI

прост) Тут кажется полчата из Тинькова