Я использую Spring Cloud Vault Library для доступа к своим секретам с сервера Vault.
В настоящее время я сохраняю все параметры, такие как role-id
, secret-id
, host
, port
и т. Д., Как Переменные среды, а затем вставляю их в свой bootstrap.yml
моего приложения Spring-boot. Ниже мой YAML
файл
spring:
cloud:
vault:
authentication: APPROLE
app-role:
role-id: ${role-id}
secret-id: ${secret-id}
host: ${host}
port: ${port}
scheme: ${scheme}
Я застрял в управлении идентификатором роли и секретным идентификатором хранилища. Очевидно, что Vault не годится для защиты наших секретов, если люди могут легко заполучить эти 2 части информации - они действительно сами являются секретами.
Каковы наилучшие отраслевые методы защиты Role-Id
и Secret-Id
? Мы уже продумали такие идеи, как storing-in-config-server, storing-in-environment-variable, storing-in-cloudfoundry-UPS. .
Тем не менее, мы хотели бы понять передовой опыт в этом отношении.