Esto parece ser un caso de uso bastante simple, pero dependería de algunos recientemente agregados funcionalidad que podría no entender aún:
Un script de Python se llena con la administración de la configuración en unos pocos servidores de monitoreo dentro de un rango de IP específico.
def main():
args = get_args()
user, password = args.redis_credentials
... store creds in a local file owned by root, do stuff with this...
Debería cambiar a esto:
def main():
args = get_args()
vault_token = args.approle_token_for_vault
user, password = get_creds_from_vault(token=vault_token, path="/secrets/redis/redis_credentials")
... store creds in a local file owned by root, do stuff with this...
Este script necesita una autenticación de usuario / paso para un almacén de datos.
Digamos que todo lo que se pasa al script se guarda en un archivo (por ejemplo, un token de acceso), compartido en un grupo de máquinas. El aprovisionamiento es impredecible, excepto por una subred específica o un rango de direcciones IP.
De todos modos, ¿puedo usar Vault para restringir el acceso a estas credenciales compartidas en función de algún tipo de identificador de red como la dirección MAC o la dirección IP?
Sí, lo sé, las restricciones de dirección IP son una "defensa en profundidad" enfoque, y las direcciones IP pueden ser falsificadas. Pero la idea es que rápidamente. realizar una mejora incremental de la situación de seguridad existente.