HashiCorp Vault는 시작 시 Sealed(봉인된) 상태로 시작합니다. 이 상태에서는 물리적 스토리지에 접근할 수 있지만, 저장된 데이터를 복호화할 수 없습니다. Unsealing(봉인해제)은 Vault가 데이터를 복호화하기 위해 필요한 root key에 접근하는 과정입니다.
Vault는 3단계 암호화 계층 구조를 사용하여 데이터를 보호합니다:
jenkins와 vault otp를 연동하여 pipe line에서 ssh/scp test
# ssh 권한을 사용 할 policy 생성
$ tee ssh-policy.hcl <<EOF
# To list SSH secrets paths
path "ssh/*" {
capabilities = [ "list" ]
}
# To use the configured SSH secrets engine otp_key_role role
path "ssh/creds/otp_key_role" {
capabilities = ["create", "read", "update"]
}
EOF
#ssh(otp) 정책 생성
$ vault policy write ssh ssh-policy.hcl
#rest api에서 사용 할 token 생성
$ vault token create -policy=ssh