我有一个使用 Kubernetes+Helm 部署的正在运行的 Vault 实例。它有一个开封钥匙。 有没有办法将其配置为使用 Azure 自动解封?我遵循的所有教程都会生成新密钥,但我不知道如何将当前的解封密钥“导入”到 Azure,以便将其用于自动解封。
您必须使用 Shamir 解封的碎片(即使使用单个密钥)是不是解封密钥。它是一个加密种子,可以让 Vault 重建密钥。
您可以对其使用的算法进行逆向工程并导出解封密钥,但您仍然无法导入它。这不是错误或疏忽,而是一项安全功能。如果可以导入真实的内部解封密钥,则意味着解封密钥存在于 Vault“外部”,因此将被视为“受损”。
所以你需要进行海豹迁移。
vault operator unseal -migrate
具体如何操作取决于您的 Vault 版本(OSS 或 Enterprise,以及版本号),但通常是这样的:
-migrate旧的 Shamir 密钥仍然可以用作恢复密钥。不要等到灾难来检验这一点...
+使用单个恢复密钥会大大降低安装的安全性。任何拥有它的人都能够读取每一个秘密——尽管不是通过点击。我会考虑将启封钥匙的数量增加到至少两个。如果您有多个 24/7 团队随时待命,请给他们每人一把钥匙。