我正在寻找一个更好的机密轮换解决方案,发现Vault动态机密是一个很好的解决方案。通过启用秘密引擎,比如数据库,应用程序/服务可以租用动态秘密。
我注意到,每次应用程序租用数据库机密时,Vault都会在数据库中创建一个新的用户/帐户。我知道,每个应用程序/服务都需要是一个好公民,并按照租赁时间使用秘密。然而,在微服务环境中,实现错误可能会导致服务请求过多的动态机密,从而触发在DB中创建过多的帐户。
有什么方法可以防止创建过多的帐户吗?我只是担心太多的账户可能会导致数据库出现问题。
您可以进入静态角色,该角色将创建一个具有固定用户名的角色,然后vault将在需要旋转密码时旋转该密码。
这里有一些文档可以让你开始
https://www.vaultproject.io/api/secret/databases#create-静态角色https://www.vaultproject.io/docs/secrets/databases#static-角色
此外,来自网站的警告:
并非所有数据库类型此时都支持静态角色。请请参阅左侧导航栏上的特定数据库文档或数据库功能下的下表,查看给定的数据库后端支持静态角色。`