2.2. 使用 Token 验证方法通过 KMS 启用集群范围的加密

您可以在密码库中启用用于令牌身份验证的键值后端路径和策略。

先决条件

  • 管理员对 vault 的访问权限。
  • 有效的 Red Hat OpenShift Data Foundation 高级订阅。如需更多信息,请参阅 OpenShift Data Foundation 订阅 上的知识库文章
  • 仔细选择唯一路径名称作为遵循命名惯例的后端路径,因为它无法在以后更改。

流程

  1. 在密码库中启用 Key/Value(KV)后端路径。

    对于 vault KV 机密引擎 API,版本 1:

    $ vault secrets enable -path=odf kv

    对于 vault KV 机密引擎 API,版本 2:

    $ vault secrets enable -path=odf kv-v2
  2. 创建策略来限制用户在 secret 上执行写入或删除操作:

    echo '
    path "odf/*" {
      capabilities = ["create", "read", "update", "delete", "list"]
    }
    path "sys/mounts" {
    capabilities = ["read"]
    }'| vault policy write odf -
  3. 创建与上述策略匹配的令牌:

    $ vault token create -policy=odf -format json