HashiCorp Vault密钥管理与动态凭证实践

概述Vault 以中心化方式管理密钥与凭证，支持动态发放与自动过期。本文提供 KV/动态凭证与 PKI、AppRole 集成，TTL 与轮换策略，以及审计与验证方法。秘密引擎（已验证）KV：存储配置与密钥；版本化与软删除；数据库动态凭证：为服务发放短期数据库账号；PKI：签发短期证书支持 mTLS。认证与授权AppRole：以 RoleID/SecretID 获取 Token；JWT/OIDC：与身份源集成单点；Policy：最小权限授予路径访问。租约与轮换TTL 与续租：短期凭证（如 15m–1h）；轮换：定期轮换 Root 与中间密钥；封存/解封：维护与恢复流程。示例（片段）vault secrets enable database vault write database/config/mydb \ plugin_name=postgresql-database-plugin \ allowed_roles=app-role \ connection_url="postgresql://{{username}}:{{password}}@db:5432/postgres" vault write database/roles/app-role \ db_name=mydb \ creation_statements="CREATE ROLE \"{{name}}\" WITH LOGIN PASSWORD \"{{password}}\" VALID UNTIL '{{expiration}}'; GRANT SELECT ON ALL TABLES IN SCHEMA public TO \"{{name}}\";" \ default_ttl=15m max_ttl=1h 审计与合规审计设备：记录访问与发放；通知与告警：过期与续租失败；验证与集成应用侧：开机取 Token 与按需取密钥；不持久化敏感信息；指标：发放次数、续租率、过期与失败事件。常见误区长期静态凭证不轮换；Policy 过宽；Token 与密钥落地磁盘。结语以动态凭证与短期 TTL 为核心，结合最小权限与审计，Vault 能在生产中实现安全的密钥管理与凭证发放。