我在此处快速关注AWS Quickstart:https://aws-quickstart.s3.amazonaws.com/quickstart-hashicorp-vault/doc/hashicorp-vault-on-the-aws-cloud.pdf。
部署了cloudformation堆栈后,我可以将其放入Bastion,然后再放入Vault,以初始化和解封保管库。但是,我不明白如何使用Vault HTTP Api将本地计算机中的机密读写到Vault中。这可能吗?
kigoor_2 回答:AWS Quickstart上的HashiCorp Vault:如何通过来自本地主机的堡垒连接到Vault?
您需要设置一个代理,例如here中所述(可以使用堡垒主机)。
此外,您还需要在cli中使用此代理配置本地计算机:
export http_proxy=<your_instance_ip:port>
之后,您的vault命令将使用此代理连接到AWS内部的Vault。
如AWS QuickStart中所述,您将希望通过堡垒主机上的SSH隧道设置堡垒转发,以从本地计算机与Vault通信(该想法是将Vault与公共互联网进行网络隔离)以减少潜在的攻击足迹)。有一些示例如何设置端口转发on linux或on Windows。
或者,您的用例实际上可能不需要将Vault与网络隔离,在这种情况下,您可以将EC2实例设置为具有公共IP,然后在防火墙上打开端口8200(连接到整个Internet或特定的主机子集)。在这种情况下,仍然可以通过堡垒主机通过SSH进行管理访问,但是您可以直接从计算机上使用HTTP API /库cli。
希望这会有所帮助!