7. Secret Backends

7.1. 键值后端

Spring Cloud Vault 支持 Key-Value 秘密后端，包括版本化（v2）和非版本化（v1）。键值后端允许将任意值存储为键值存储。一个上下文可以存储一个或多个键值对。上下文可以按层次组织。 Spring Cloud Vault 会根据情况判断一个秘密是否使用版本化，并将路径映射到相应的 URL。 Spring Cloud Vault 允许使用应用程序名称和默认上下文名称（application）与活动的 profiles 结合使用。spring-doc.cadn.net.cn

/secret/{application}/{profile}
/secret/{application}
/secret/{default-context}/{profile}
/secret/{default-context}

应用程序名称由属性决定:spring-doc.cadn.net.cn

spring.cloud.vault.kv.application-namespring-doc.cadn.net.cn
spring.cloud.vault.application-namespring-doc.cadn.net.cn
spring.application.namespring-doc.cadn.net.cn

profiles 通过以下属性确定：spring-doc.cadn.net.cn

spring.cloud.vault.kv.profilesspring-doc.cadn.net.cn
spring.profiles.activespring-doc.cadn.net.cn

可以从键值后端的其他上下文中通过将它们的路径添加到应用程序名称，用逗号分隔来获取Secrets。例如，给定应用程序名称 usefulapp,mysql1,projectx/aws，这些文件夹都会被使用:spring-doc.cadn.net.cn

/secret/usefulappspring-doc.cadn.net.cn
/secret/mysql1spring-doc.cadn.net.cn
/secret/projectx/awsspring-doc.cadn.net.cn

Spring Cloud Vault 会将所有活动的 profiles 添加到可能的 context 路径列表中。如果没有活动的 profiles，将跳过访问带有 profile 名称的上下文。spring-doc.cadn.net.cn

属性以它们存储的方式暴露（即不带任何额外前缀）。spring-doc.cadn.net.cn

Spring Cloud Vault会在mount路径和实际上下文路径之间根据mount是否使用版本化的键值后端添加data/上下文。

spring.cloud.vault:
    kv:
        enabled: true
        backend: secret
        profile-separator: '/'
        default-context: application
        application-name: my-app
        profiles: local, cloud

enabled 将此值设置为 false 会禁用 secret 后端配置的使用spring-doc.cadn.net.cn
backend 设置将使用的秘密挂载路径spring-doc.cadn.net.cn
default-context 设置所有应用程序使用的上下文名称spring-doc.cadn.net.cn
application-name 会覆盖用于键值后端的应用名称spring-doc.cadn.net.cn
profiles 重写了键值后端的活动配置文件 for use in the key-value backendspring-doc.cadn.net.cn
profile-separator 用于在具有 profiles 的属性源中将 profile 名称与 context 分开spring-doc.cadn.net.cn

键值秘密后端可以以版本化（v2）和非版本化（v1）模式运行。

见亦：spring-doc.cadn.net.cn

7.2. Consul

Spring Cloud Vault 可以从 HashiCorp Consul 获取凭据。 Consul 集成需要 spring-cloud-vault-config-consul 的依赖。spring-doc.cadn.net.cn

示例 31. pom.xml

<dependencies>
    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-vault-config-consul</artifactId>
        <version>3.0.4</version>
    </dependency>
</dependencies>

该集成可以通过将 spring.cloud.vault.consul.enabled=true（默认值为 false) 并使用 spring.cloud.vault.consul.role=… 提供角色名称来启用。spring-doc.cadn.net.cn

The obtained token is stored in spring.cloud.consul.token so using Spring Cloud Consul can pick up the generated credentials without further configuration. You can configure the property name by setting spring.cloud.vault.consul.token-property.spring-doc.cadn.net.cn

spring.cloud.vault:
    consul:
        enabled: true
        role: readonly
        backend: consul
        token-property: spring.cloud.consul.token

enabled 设置此值为 true 以启用 Consul 后端配置的使用spring-doc.cadn.net.cn
role 设置 Consul 角色定义的角色名称spring-doc.cadn.net.cn
backend 设置要使用的 Consul 挂载路径spring-doc.cadn.net.cn
token-property 设置Consul ACLTokens存储的属性名称spring-doc.cadn.net.cn

见 also: Vault 文档: 使用 Consul 配置 Vault spring-doc.cadn.net.cn

7.3. RabbitMQ

Spring Cloud Vault 可获取 RabbitMQ 的凭据。spring-doc.cadn.net.cn

RabbitMQ 集成需要 spring-cloud-vault-config-rabbitmq 的依赖项。spring-doc.cadn.net.cn

示例 32. pom.xml

<dependencies>
    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-vault-config-rabbitmq</artifactId>
        <version>3.0.4</version>
    </dependency>
</dependencies>

该集成可以通过将 spring.cloud.vault.rabbitmq.enabled=true（默认值为 false) 并使用 spring.cloud.vault.rabbitmq.role=… 提供角色名称来启用。spring-doc.cadn.net.cn

用户名和密码存储在spring.rabbitmq.username 和spring.rabbitmq.password，因此使用Spring Boot可以无需进一步配置地拾取生成的凭据。可以通过设置spring.cloud.vault.rabbitmq.username-property和 spring.cloud.vault.rabbitmq.password-property来配置属性名称。spring-doc.cadn.net.cn

spring.cloud.vault:
    rabbitmq:
        enabled: true
        role: readonly
        backend: rabbitmq
        username-property: spring.rabbitmq.username
        password-property: spring.rabbitmq.password

enabled 将此值设置为 true 会启用 RabbitMQ 后端配置的使用。spring-doc.cadn.net.cn
role 设置 RabbitMQ 角色定义的角色名称spring-doc.cadn.net.cn
backend 设置要使用的RabbitMQ挂载路径spring-doc.cadn.net.cn
username-property 设置属性名称，用于存储RabbitMQ用户名spring-doc.cadn.net.cn
password-property 设置属性名称，用于存储RabbitMQ密码spring-doc.cadn.net.cn

见 also: Vault 文档: 使用 Vault 配置 RabbitMQ spring-doc.cadn.net.cn

7.4. AWS

Spring Cloud Vault 可以获取 AWS 的凭据。spring-doc.cadn.net.cn

AWS 集成需要 spring-cloud-vault-config-aws 的依赖项。spring-doc.cadn.net.cn

示例 33. pom.xml

<dependencies>
    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-vault-config-aws</artifactId>
        <version>3.0.4</version>
    </dependency>
</dependencies>

该集成可以通过将 spring.cloud.vault.aws=true（默认值为 false) 并使用 spring.cloud.vault.aws.role=… 提供角色名称来启用。spring-doc.cadn.net.cn

支持的 AWS 凭证类型:spring-doc.cadn.net.cn

iam_user（默认值）spring-doc.cadn.net.cn
假设的角色 (STS)spring-doc.cadn.net.cn
federation_token (STS)spring-doc.cadn.net.cn

访问密钥和秘密密钥存储在cloud.aws.credentials.accessKey 和cloud.aws.credentials.secretKey。因此使用Spring Cloud AWS将无需进一步配置即可获取生成的凭据。spring-doc.cadn.net.cn

你可以通过设置 spring.cloud.vault.aws.access-key-property 和 spring.cloud.vault.aws.secret-key-property 来配置属性名称。spring-doc.cadn.net.cn

对于STS安全Tokens，可以通过设置spring.cloud.vault.aws.session-token-key-property来配置属性名称。安全Tokens存储在cloud.aws.credentials.sessionToken（默认）下。spring-doc.cadn.net.cn

示例：iam_userspring-doc.cadn.net.cn

spring.cloud.vault:
    aws:
        enabled: true
        role: readonly
        backend: aws
        access-key-property: cloud.aws.credentials.accessKey
        secret-key-property: cloud.aws.credentials.secretKey

示例: assumed_role (STS)spring-doc.cadn.net.cn

spring.cloud.vault:
    aws:
        enabled: true
        role: sts-vault-role
        backend: aws
        credential-type: assumed_role
        access-key-property: cloud.aws.credentials.accessKey
        secret-key-property: cloud.aws.credentials.secretKey
        session-token-key-property: cloud.aws.credentials.sessionToken
        ttl: 3600s
        role-arn: arn:aws:iam::${AWS_ACCOUNT}:role/sts-app-role

enabled 将此值设置为 true 以启用 AWS 后端配置使用spring-doc.cadn.net.cn
role设置AWS角色定义的角色名称spring-doc.cadn.net.cn
backend 设置要使用的 AWS 挂载路径spring-doc.cadn.net.cn
access-key-property 设置属性名称，用于存储AWS访问密钥spring-doc.cadn.net.cn
secret-key-property 设置属性名，用于存储AWS密钥spring-doc.cadn.net.cn
session-token-key-property 设置用于存储 AWS STS 安全Tokens的属性名称。spring-doc.cadn.net.cn
credential-type 将为此后端设置要使用的 AWS 凭证类型。默认值为 iam_userspring-doc.cadn.net.cn
ttl 设置使用 assumed_role 或 federation_token 时的STSTokensTTL。默认值为由vault角色指定的TTL。最小/最大值也受限于AWS对STS的支持。spring-doc.cadn.net.cn
role-arn 设置在使用 assumed_role 时，若为 vault 角色配置了多个 IAM 角色需要假设的，则要假设的 IAM 角色。spring-doc.cadn.net.cn

见 also: Vault 文档: 使用 Vault 配置 AWS spring-doc.cadn.net.cn