Notice: file_put_contents(): Write of 16393 bytes failed with errno=28 No space left on device in /var/www/tgoop/post.php on line 50

Warning: file_put_contents(): Only 4096 of 20489 bytes written, possibly out of free disk space in /var/www/tgoop/post.php on line 50
Библиотека девопса | DevOps, SRE, Sysadmin@devopsslib P.3517
DEVOPSSLIB Telegram 3517
tgoop.com » United States » Библиотека девопса | DevOps, SRE, Sysadmin » Telegram web » Post 3517
Библиотека девопса | DevOps, SRE, Sysadmin
⚙️ Как использовать краткосрочные данные

Статичные и долгосрочные учетные данные представляют собой огромную угрозу, так как в случае их утечки злоумышленники могут беспрепятственно получить доступ к системам.

Один из вариантов решения это краткосрочные учетные данные, которые действуют только в течение ограниченного времени и автоматически истекают.

Предположим, что у вас уже есть настроенная система аутентификации, тогда нам нужно настроить динамическую генерацию учётных данных:

1️⃣ Для начала активируем secret engine

Для этого используем простую команду;
vault secrets enable database


После чего пропишем подключение к БД:
vault write database/config/my-postgresql-database \
  plugin_name=postgresql-database-plugin \
  connection_url="postgresql://{{username}}:{{password}}@localhost:5432/mydb?sslmode=disable" \
  allowed_roles="my-role" \
  username="postgres" \
  password="my-secret-password"


2️⃣Далее необходимо создать роль, которая будет использоваться для генерации учетных данных

Команда для создания роли:
vault write database/roles/my-role \
  db_name=my-postgresql-database \
  creation_statements="CREATE ROLE {{name}} WITH LOGIN PASSWORD '{{password}}' VALID UNTIL '{{expire_time}}'" \
  default_ttl="1h" \
  max_ttl="24h"


3️⃣Теперь вы можете генерировать учетные данные для вашей роли.

Команда для генерации:
vault read database/creds/my-role


Это сгенерирует временные учетные данные для подключения к базе данных, например:
Key                Value
---                -----
username           vault-xyz123
password           GtU7GmHJwU69
lease_id           database/creds/my-role/XYZ123
lease_duration     1h
lease_renewable    true


4️⃣ Автоматизация процесса и управление учетными данными

Для автоматического продления или обновления учетных данных можно использовать API Vault для повторной генерации учетных данных по мере необходимости. 
vault lease renew database/creds/my-role/XYZ123


💬 Как считаете — хорошая практика или оверхед? Делитесь мнением в комментариях👇

🐸Библиотека devops'a #буст
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7
www.tgoop.com/devopsslib/3517
1.52K views



tgoop.com/devopsslib/3517
Create:
Last Update:

⚙️ Как использовать краткосрочные данные

Статичные и долгосрочные учетные данные представляют собой огромную угрозу, так как в случае их утечки злоумышленники могут беспрепятственно получить доступ к системам.

Один из вариантов решения это краткосрочные учетные данные, которые действуют только в течение ограниченного времени и автоматически истекают.

Предположим, что у вас уже есть настроенная система аутентификации, тогда нам нужно настроить динамическую генерацию учётных данных:

1️⃣ Для начала активируем secret engine

Для этого используем простую команду;

vault secrets enable database


После чего пропишем подключение к БД:
vault write database/config/my-postgresql-database \
  plugin_name=postgresql-database-plugin \
  connection_url="postgresql://{{username}}:{{password}}@localhost:5432/mydb?sslmode=disable" \
  allowed_roles="my-role" \
  username="postgres" \
  password="my-secret-password"


2️⃣Далее необходимо создать роль, которая будет использоваться для генерации учетных данных

Команда для создания роли:
vault write database/roles/my-role \
  db_name=my-postgresql-database \
  creation_statements="CREATE ROLE {{name}} WITH LOGIN PASSWORD '{{password}}' VALID UNTIL '{{expire_time}}'" \
  default_ttl="1h" \
  max_ttl="24h"


3️⃣Теперь вы можете генерировать учетные данные для вашей роли.

Команда для генерации:
vault read database/creds/my-role


Это сгенерирует временные учетные данные для подключения к базе данных, например:
Key                Value
---                -----
username           vault-xyz123
password           GtU7GmHJwU69
lease_id           database/creds/my-role/XYZ123
lease_duration     1h
lease_renewable    true


4️⃣ Автоматизация процесса и управление учетными данными

Для автоматического продления или обновления учетных данных можно использовать API Vault для повторной генерации учетных данных по мере необходимости. 
vault lease renew database/creds/my-role/XYZ123


💬 Как считаете — хорошая практика или оверхед? Делитесь мнением в комментариях👇

🐸Библиотека devops'a #буст

BY Библиотека девопса | DevOps, SRE, Sysadmin




Share with your friend now:
tgoop.com/devopsslib/3517

View MORE
Open in Telegram


Telegram News

Date: |

Done! Now you’re the proud owner of a Telegram channel. The next step is to set up and customize your channel. Channel login must contain 5-32 characters Add up to 50 administrators Don’t publish new content at nighttime. Since not all users disable notifications for the night, you risk inadvertently disturbing them. The public channel had more than 109,000 subscribers, Judge Hui said. Ng had the power to remove or amend the messages in the channel, but he “allowed them to exist.”
from us


⚙️ Как использовать краткосрочные данные

 Библиотека девопса | DevOps, SRE, Sysadmin TG
web: 3517
Библиотека девопса | DevOps, SRE, Sysadmin.Telegram web
Библиотека девопса | DevOps, SRE, Sysadmin Telegram TG Channel
Telegram Updated:
Telegram Библиотека девопса | DevOps, SRE, Sysadmin
FROM American