2.2. 使用 Token 验证方法通过 KMS 启用集群范围的加密
您可以在密码库中启用用于令牌身份验证的键值后端路径和策略。
先决条件
- 管理员对 vault 的访问权限。
- 有效的 Red Hat OpenShift Data Foundation 高级订阅。如需更多信息,请参阅 OpenShift Data Foundation 订阅中的知识库文章。
-
仔细选择唯一路径名称作为遵循命名惯例的后端
路径
,因为它无法在以后更改。
流程
在密码库中启用 Key/Value(KV)后端路径。
对于 vault KV 机密引擎 API,版本 1:
$ vault secrets enable -path=odf kv
对于 vault KV 机密引擎 API,版本 2:
$ vault secrets enable -path=odf kv-v2
创建策略来限制用户在 secret 上执行写入或删除操作:
echo ' path "odf/*" { capabilities = ["create", "read", "update", "delete", "list"] } path "sys/mounts" { capabilities = ["read"] }'| vault policy write odf -
创建与上述策略匹配的令牌:
$ vault token create -policy=odf -format json