В современном мире DevOps и кибербезопасности безопасное управление секретами и конфиденциальными данными имеет первостепенное значение. Vault, разработанный HashiCorp, — это популярный инструмент с открытым исходным кодом, обеспечивающий безопасное решение для управления секретами. Vault предлагает набор мощных API-интерфейсов, которые позволяют разработчикам программно взаимодействовать с его функциями. В этой статье мы рассмотрим три ключевых API Vault и приведем примеры кода, демонстрирующие их использование.
- API аутентификации.
API аутентификации в Vault позволяет клиентам аутентифицировать себя и получать токен для последующих вызовов API. Vault поддерживает различные методы аутентификации, такие как, среди прочего, на основе токенов, имени пользователя и пароля, LDAP. Вот пример использования метода аутентификации на основе токенов:
import requests
def authenticate_to_vault(username, password):
payload = {
'password': password
}
response = requests.post('https://vault.example.com/v1/auth/token/login', json=payload)
token = response.json()['auth']['client_token']
return token
# Example usage
token = authenticate_to_vault('my_username', 'my_password')- API секретов.
API секретов позволяет клиентам читать, записывать секреты и управлять ими в Vault. Секреты можно хранить и извлекать с использованием различных механизмов, таких как «ключ-значение», «база данных» и AWS, в зависимости от типа секрета. Вот пример чтения секрета с использованием механизма «ключ-значение»:
import requests
def read_secret_from_vault(token, path):
headers = {
'X-Vault-Token': token
}
response = requests.get(f'https://vault.example.com/v1/secret/{path}', headers=headers)
secret_value = response.json()['data']['value']
return secret_value
# Example usage
token = 'my_token'
secret_value = read_secret_from_vault(token, 'my-secret')- Policies API.
Policies API позволяет администраторам определять детальные политики контроля доступа в Сейфе. Эти политики определяют, какие операции можно выполнять с конкретными путями и секретами. Вот пример создания политики, предоставляющей доступ на чтение к определенному секретному пути:
import requests
def create_policy(token, policy_name, policy_rules):
headers = {
'X-Vault-Token': token
}
payload = {
'rules': policy_rules
}
response = requests.put(f'https://vault.example.com/v1/sys/policies/acl/{policy_name}', json=payload, headers=headers)
return response.status_code == 204
# Example usage
token = 'my_token'
policy_name = 'read-secret-policy'
policy_rules = '''
path "secret/my-secret" {
capabilities = ["read"]
}
'''
success = create_policy(token, policy_name, policy_rules)Vault предоставляет надежный набор API-интерфейсов, которые позволяют разработчикам легко интегрировать управление секретами в свои приложения и инфраструктуру. В этой статье мы рассмотрели три основных API Vault: аутентификацию, секреты и политики. Используя эти API, разработчики могут аутентифицировать клиентов, управлять секретами и обеспечивать детальный контроль доступа. Включение API Vault в рабочие процессы DevOps обеспечивает более безопасный и эффективный процесс управления секретами.