secrets enable
secrets enable
命令在指定路径上启用一个机密引擎。如果指定路径上已挂载机密引擎,则返回错误。机密引擎在启用后,通常需要进行配置。不同的机密引擎配置各异。
默认情况下,机密引擎在与其类型对应的路径上启用,但用户可以使用 -path
选项自定义路径。
有些机密引擎会保存持久化数据,而有些则只会在内存中短暂地处理数据,还有一些会创建动态凭据。机密引擎挂载后一般需要进行配置。详细的配置信息请阅读相关机密引擎文档。
例子
在 aws/
上启用 AWS 机密引擎:
$ vault secrets enable aws
Success! Enabled the aws secrets engine at: aws/
在 ssh-prod/
上启用 SSH 机密引擎:
$ vault secrets enable -path=ssh-prod ssh
使用显式设定 30 分钟的 TTL 的配置启用 database
机密引擎:
$ vault secrets enable -max-lease-ttl=30m database
启用一个自定义插件(在该插件被注册到插件中心后):
$ vault secrets enable -path=my-secrets my-plugin
可用标志
-audit-non-hmac-request-keys
(string: "")
- 指定在请求的数据对象中的哪些键不会被审计设备 HMAC 哈希。请注意,可以通过多次使用该选项来指定多个键,每次指定一个键-audit-non-hmac-response-keys
(string: "")
- 指定在响应的数据对象中的哪些键不会被审计设备 HMAC 哈希。请注意,可以通过多次使用该选项来指定多个键,每次指定一个键-default-lease-ttl
(duration: "")
- 该机密引擎生成的令牌租约的默认 TTL。如果未指定,则默认为 Vault 服务器全局配置的默认租约 TTL,或先前为该机密引擎配置过的值-description
(string: "")
- 关于此身份验证方法的易于阅读的描述-force-no-cache
(bool: false)
- 强制机密引擎禁用缓存。如果未加指定,则默认为 Vault 服务器全局配置的缓存设置。该参数不会影响底层存储对加密数据的缓存-local
(bool: false)
- 将此机密引擎标记为本地可用。本地可用的引擎数据不会被复制或是被复制机制删除-max-lease-ttl
(duration: "")
- 该机密引擎租约的最大 TTL 约束,如果未加指定,则默认为 Vault 服务器全局配置的最大租约 TTL 设置-path
(string: "")
- 可以访问机密引擎的路径。所有机密引擎的路径都必须是唯一的。默认值为机密引擎的类型名称-passthrough-request-headers
(string: "")
- 将要发送到机密引擎的请求中的标头值。请注意,可以通过多次使用该选项来指定多个键,每次指定一个键-allowed-response-headers
(string: "")
- 允许机密引擎设置在响应上的标头值。请注意,可以通过多次使用该选项来指定多个键,每次指定一个键