Cubbyhole
cubbyhole 机密引擎是一个每个令牌私有的 Vault 物理存储空间,可以用来存储令牌专属的任意数据。在 cubbyhole 引擎中,路径是根据令牌隔离的。没有令牌可以访问其他令牌的 cubbyhole。当令牌过期时,它的 cubbyhole 也会被销毁。
另外不同于 kv 机密引擎,由于 cubbyhole 的生命周期是与经身份验证的令牌绑定的,所以 cubbyhole 中的值并没有 TTL 或是刷新周期的概念。
向 cubbyhole 机密引擎写入一个键会彻底覆盖旧值。
配置
大部分机密引擎在工作之前必须要先进行配置。这些步骤通常是由系统管理员或是配置管理工具来完成。
cubbyhole 机密引擎默认启用。它无法被禁用、移动或是重复多次启用。
使用方法
配置了机密引擎后,一个拥有搭配了合适权限的 Vault 令牌的用户或是机器可以生成凭据。cubbyhole 机密引擎允许写入任意键值数据。
- 写入任意数据:
$ vault write cubbyhole/my-secret my-value=s3cr3t
Success! Data written to: cubbyhole/my-secret
- 读取任意数据:
$ vault read cubbyhole/my-secret
Key Value
--- -----
my-value s3cr3t