Questo sembra un caso d'uso piuttosto semplice, ma dipenderà da alcuni aggiunti recentemente funzionalità che potrei non capire ancora:
Uno script python viene popolato dalla gestione della configurazione su alcuni server di monitoraggio all'interno di un intervallo IP specifico.
def main():
args = get_args()
user, password = args.redis_credentials
... store creds in a local file owned by root, do stuff with this...
Dovrebbe cambiare in questo:
def main():
args = get_args()
vault_token = args.approle_token_for_vault
user, password = get_creds_from_vault(token=vault_token, path="/secrets/redis/redis_credentials")
... store creds in a local file owned by root, do stuff with this...
Questo script richiede un'autorizzazione utente / passaggio a un archivio dati.
Diciamo che tutto ciò che è passato allo script entra in un file (ad esempio un token di accesso), condiviso su un mucchio di macchine. Il provisioning è imprevedibile, tranne che per una specifica sottorete o intervallo di indirizzi IP.
Ad ogni modo, posso usare Vault per limitare l'accesso a queste credenziali condivise sulla base di un qualche tipo di identificatore di rete come l'indirizzo MAC o l'indirizzo IP?
Yes, I know, IP address restrictions are a "defense in depth" approach, and IP addresses can be spoofed. But the idea is to quickly make an incremental improvement to the existing security situation.