alicloudkms 封印

阿里云 KMS 封印配置了 Vault 如何使用阿里云 KMS 封装封印密钥。阿里云 KMS 封印可以由以下任一方式激活:

  • Vault 配置文件中设置了 seal "alicloudkms"
  • 环境变量 VAULT_SEAL_TYPE 的值被设置为 alicloudkms。如果通过环境变量启用该功能,必须通过环境变量提供所有阿里云 KMS 所需要的其他值和所有有助进行身份验证的环境变量。(例如 VAULT_ALICLOUDKMS_SEAL_KEY_ID

alicloudkms 例子

下面的例子显示了通过 Vault 配置文件提供所有必要的值来配置阿里云 KMS 封印:

seal "alicloudkms" {
  region     = "us-east-1"
  access_key = "0wNEpMMlzy7szvai"
  secret_key = "PupkTg8jdmau1cXxYacgE736PJj4cA"
  kms_key_id = "08c33a6f-4e0a-4a1b-a3fa-7ddfa1d4fb73"
}

alicloudkms 参数

以下参数可以在 Vault 配置文件的 seal 配置节当中使用:

  • region (string: <required> "us-east-1"): 加密密钥所处的阿里云区域。可以通过设置环境变量 ALICLOUD_REGION 来配置。
  • domain (string: "kms.us-east-1.aliyuncs.com"): 如果设置该参数,将会覆盖通常连接特定区域的 KMS 服务所使用的端点地址。可以通过设置环境变量 ALICLOUD_DOMAIN 来配置。
  • access_key (string: <required>): 使用的阿里云 access key。可以通过设置环境变量 ALICLOUD_ACCESS_KEY 来配置。
  • secret_key (string: <required>): 使用的阿里云 secret key。可以通过设置环境变量 ALICLOUD_SECRET_KEY 来配置。
  • kms_key_id (string: <required>): 加解密密钥的 KMS key ID。可以通过设置环境变量 VAULT_ALICLOUDKMS_SEAL_KEY_ID 来配置。

身份验证

必须设定身份验证相关的参数,通过配置文件参数或者环境变量二者选一。

注意,虽然我们可以用配置文件来配置阿里云的 access key 和 secret key,但我们强烈建议使用环境变量来配置。

AliCloud authentication values:

* `ALICLOUD_REGION`
* `ALICLOUD_ACCESS_KEY`
* `ALICLOUD_SECRET_KEY`

请注意,客户端使用的是官方的阿里云 SDK,它会根据环境变量中的凭据、指定凭据,或是 RAM 角色凭据的顺序来加载凭据。

alicloudkms 环境变量

可以通过设置环境变量来启用阿里云 KMS 封印:

Vault Seal specific values:

* `VAULT_SEAL_TYPE`
* `VAULT_ALICLOUDKMS_SEAL_KEY_ID`

results matching ""

    No results matching ""