secrets tune
secrets tune
命令调整指定路径上的机密引擎的配置选项。参数使用的是启用机密引擎的路径,而不是引擎类型。
例子
在调整配置之前,首先读取路径 pki/
上当前的配置信息:
$ vault read sys/mounts/pki/tune
Key Value
--- -----
default_lease_ttl 12h
description Example PKI mount
force_no_cache false
max_lease_ttl 24h
调整 PKI 机密引擎的默认租约,从审计设备的 HMAC 字段中排除掉 common_name
和 serial_number
:
$ vault secrets tune -default-lease-ttl=18h -audit-non-hmac-request-keys=common_name -audit-non-hmac-response-keys=serial_number pki/
Success! Tuned the secrets engine at: pki/
$ vault read sys/mounts/pki/tune
Key Value
--- -----
audit_non_hmac_request_keys [common_name]
audit_non_hmac_response_keys [serial_number]
default_lease_ttl 18h
description Example PKI mount
force_no_cache false
max_lease_ttl 24h
指定多个不执行 HMAC 哈希的字段:
$ vault secrets tune -audit-non-hmac-request-keys=common_name -audit-non-hmac-request-keys=ttl pki/
可用标志
除了全局可用的标准标志以外,也可以配置下列标志:
-audit-non-hmac-request-keys
(string: "")
- 指定在请求的数据对象中的哪些键不会被审计设备 HMAC 哈希。请注意,可以通过多次使用该选项来指定多个键,每次指定一个键-audit-non-hmac-response-keys
(string: "")
- 指定在响应的数据对象中的哪些键不会被审计设备 HMAC 哈希。请注意,可以通过多次使用该选项来指定多个键,每次指定一个键-default-lease-ttl
(duration: "")
- 该机密引擎生成的租约的默认 TTL。如果未指定,则默认为 Vault 服务器全局配置的默认租约 TTL,或先前为该机密引擎配置过的值-description
(string: "")
- 设定关于该挂载点的说明。如果设定将会覆盖现有的值-listing-visibility
(string: "")
- 是否在列出挂载点信息的 UI 界面上展示挂载点信息的开关-max-lease-ttl
(duration: "")
- 该机密引擎签发的租约最大的 TTL 。默认值为 Vault 服务器全局配置的最大租约 TTL,或是先前机密引擎设置的值。该参数将会覆盖服务器的全局最大 TTL,可以设置成更长或者更短-passthrough-request-headers
(string: "")
- 将要发送到机密引擎的请求标头值。请注意,可以通过多次使用该选项来指定多个键,每次指定一个键