Spring Cloud Vault AWS-EC2身份验证
的AWS-EC2 AUTH后端提供了一个安全导入机构为AWS EC2实例,允许的Vault令牌自动检索。与大多数Vault身份验证后端不同,此后端不需要先部署或设置安全敏感的凭据(令牌,用户名/密码,客户端证书等)。而是将AWS视为受信任的第三方,并使用经过加密签名的动态元数据信息来唯一表示每个EC2实例。
AWS-EC2身份验证默认使随机数遵循首次使用信任(TOFU)原则。任何可以访问PKCS#7身份元数据的意外用户都可以针对Vault进行身份验证。
在首次登录期间,Spring Cloud Vault生成一个随机数,该随机数存储在auth后端中,与实例ID无关。重新认证要求发送相同的随机数。任何其他方都没有随机数,可以在Vault中发出警报以进行进一步调查。
随机数保留在内存中,在应用程序重新启动期间丢失。您可以使用spring.cloud.vault.aws-ec2.nonce配置静态随机数。
AWS-EC2身份验证角色是可选的,默认为AMI。您可以通过设置spring.cloud.vault.aws-ec2.role属性来配置身份验证角色。
示例102.9 具有配置角色的bootstrap.yml
spring.cloud.vault: authentication: AWS_EC2 aws-ec2: role: application-server
示例102.10 具有所有AWS EC2身份验证属性的bootstrap.yml
spring.cloud.vault: authentication: AWS_EC2 aws-ec2: role: application-server aws-ec2-path: aws-ec2 identity-document: http://... nonce: my-static-nonce
authentication将此值设置为AWS_EC2会选择AWS EC2身份验证方法role设置尝试进行登录的角色的名称。aws-ec2-path设置要使用的AWS EC2安装的路径identity-document设置PKCS#7 AWS EC2身份文档的URLnonce用于AWS-EC2身份验证。空随机数默认为随机数生成
另请参阅:Vault文档:使用aws auth后端