⚙️ Теория
🔐 Auth methods в Vault
Vault поддерживает разные методы аутентификации (Kubernetes, AppRole, OIDC, LDAP и др.).
Принцип:
- субъект доказывает identity через auth method;
- Vault выдает token;
- token получает policy-права.
🎟️ Token model
Токены в Vault имеют важные параметры:
TTL/max TTL;renewable;periodic;orphan/parent-child отношения.
Это влияет на ротацию, blast radius и управление сессиями.
🧩 Identity и Entities
Vault Identity объединяет разные auth-пути одного субъекта в entity через aliases.
Практический плюс:
- централизованная политика доступа, независимо от источника аутентификации.
⚠️ Типовые ошибки
- длинноживущие токены без ротации;
- политика "*" вместо принципа наименьших привилегий;
- ручное распространение root/privileged токенов.
❓ Что нужно уметь объяснить
Почему auth и policy нужно разделять?
Auth отвечает за "кто ты", policy за "что тебе можно". Смешивание ломает управляемость и аудит.
Почему TTL важнее, чем кажется?
Короткие TTL снижают окно компрометации и упрощают отзыв доступа.
Что делает identity полезной в больших организациях?
Сводит разные способы входа одного пользователя/сервиса к единой сущности и единому набору политик.
🧪 Практика
1. Проверка auth методов
vault auth list2. Проверка токена
vault token lookup3. Принцип наименьших привилегий
path "secret/data/app/*" {
capabilities = ["read"]
}4. Guardrails
- отключить неиспользуемые auth methods;
- минимизировать TTL и использовать renew только где нужно;
- вести аудит выдачи/использования токенов.
🧾 Вывод
Надежная модель Vault строится на короткоживущих токенах, явной identity-модели и минимальных policy-правах. Это база для безопасной автоматизации секретов.