secrets tune

secrets tune 命令调整指定路径上的机密引擎的配置选项。参数使用的是启用机密引擎的路径,而不是引擎类型。

例子

在调整配置之前,首先读取路径 pki/ 上当前的配置信息:

$ vault read sys/mounts/pki/tune
Key                             Value
---                             -----
default_lease_ttl               12h
description                     Example PKI mount
force_no_cache                  false
max_lease_ttl                   24h

调整 PKI 机密引擎的默认租约,从审计设备的 HMAC 字段中排除掉 common_nameserial_number

$ vault secrets tune -default-lease-ttl=18h -audit-non-hmac-request-keys=common_name -audit-non-hmac-response-keys=serial_number pki/
Success! Tuned the secrets engine at: pki/

$ vault read sys/mounts/pki/tune
Key                             Value
---                             -----
audit_non_hmac_request_keys     [common_name]
audit_non_hmac_response_keys    [serial_number]
default_lease_ttl               18h
description                     Example PKI mount
force_no_cache                  false
max_lease_ttl                   24h

指定多个不执行 HMAC 哈希的字段:

$ vault secrets tune -audit-non-hmac-request-keys=common_name -audit-non-hmac-request-keys=ttl pki/

可用标志

除了全局可用的标准标志以外,也可以配置下列标志:

  • -audit-non-hmac-request-keys (string: "") - 指定在请求的数据对象中的哪些键不会被审计设备 HMAC 哈希。请注意,可以通过多次使用该选项来指定多个键,每次指定一个键
  • -audit-non-hmac-response-keys (string: "") - 指定在响应的数据对象中的哪些键不会被审计设备 HMAC 哈希。请注意,可以通过多次使用该选项来指定多个键,每次指定一个键
  • -default-lease-ttl (duration: "") - 该机密引擎生成的租约的默认 TTL。如果未指定,则默认为 Vault 服务器全局配置的默认租约 TTL,或先前为该机密引擎配置过的值
  • -description (string: "") - 设定关于该挂载点的说明。如果设定将会覆盖现有的值
  • -listing-visibility (string: "") - 是否在列出挂载点信息的 UI 界面上展示挂载点信息的开关
  • -max-lease-ttl (duration: "") - 该机密引擎签发的租约最大的 TTL 。默认值为 Vault 服务器全局配置的最大租约 TTL,或是先前机密引擎设置的值。该参数将会覆盖服务器的全局最大 TTL,可以设置成更长或者更短
  • -passthrough-request-headers (string: "") - 将要发送到机密引擎的请求标头值。请注意,可以通过多次使用该选项来指定多个键,每次指定一个键

results matching ""

    No results matching ""