Spring Cloud Vault AWS-IAM身份验证
在AWS后端提供了AWS IAM角色的安全认证机制,允许基础上运行的应用程序的当前IAM角色具有拱顶的自动认证。与大多数Vault身份验证后端不同,此后端不需要先部署或设置安全敏感的凭据(令牌,用户名/密码,客户端证书等)。相反,它将AWS视为受信任的第三方,并使用呼叫者使用其IAM凭据签名的4条信息来验证呼叫者确实在使用该IAM角色。
应用程序正在其中运行的当前IAM角色是自动计算的。如果您在AWS ECS上运行应用程序,则该应用程序将使用分配给正在运行的容器的ECS任务的IAM角色。如果您在EC2实例上裸身运行应用程序,则使用的IAM角色将是分配给EC2实例的角色。
使用AWS-IAM身份验证时,您必须在Vault中创建一个角色并将其分配给您的IAM角色。空的role默认为当前IAM角色的友好名称。
示例102.12 具有所有AWS-IAM身份验证属性的bootstrap.yml
spring.cloud.vault: authentication: AWS_IAM aws-iam: role: my-dev-role aws-path: aws server-id: some.server.name
role设置尝试进行登录的角色的名称。这应该与您的IAM角色绑定。如果未提供,则当前IAM用户的友好名称将用作保管库角色。aws-path设置要使用的AWS装载的路径server-id设置用于X-Vault-AWS-IAM-Server-ID标头的值,以防止某些类型的重放攻击。
AWS-IAM需要AWS Java SDK依赖项(com.amazonaws:aws-java-sdk-core),因为身份验证实现将AWS开发工具包类型用于凭证和请求签名。
另请参阅:Vault文档:使用aws auth后端