Diferències

Ací es mostren les diferències entre la revisió seleccionada i la versió actual de la pàgina.

Enllaç a la visualització de la comparació

--- info:cursos:hashicorp:vault [26/05/2020 05:27] – creat admin
+++ info:cursos:hashicorp:vault [26/05/2020 08:12] (actual) – [otros] admin
@@ Línia 103: / Línia 103: @@
       * cluster disaster recovery
+== chap2: interactuando con Vault
+  * interacción
+    * CLI (wrapper)
+    * UI (wrapper)
+    * API
+=== cli
+  * aplicación GO
+  * multiplataforma
+=== instruqt
+  * modo DEV (para desarrollo, todo en memoria, para trastear)
+  * ''vault server -dev -dev-listen-address=0.0.0.0:8200 -dev-root-token-id=root''
+  * ''vault kv put secret/my-first-secret age=48''
+  * ''curl http://localhost:8200/v1/sys/health | jq''
+  * ''curl --header "X-Vault-Token: root" http://localhost:8200/v1/secret/data/my-first-secret | jq''
+=== production vault server
+  * configuración parámetros
+    * HCL o JSON
+    * listener:
+    * storage: donde se guardan los datos [[https://www.vaultproject.io/docs/configuration/storage]]
+      * Hashicorp solo mantiene 4: consul, integrado (raft)
+    * seal:
+    * log_level
+    * ui
+    * api_addr
+    * cluster_addr
+  * keys
+      * llave almacenamiento
+      * llave maestra
+        * key-holders en su momento: dividir la llave en varias personas, todas necesarias para volver a levantar el servicio
+        * proveedores externo para almacenar llaves
+      * llave sello
+        * evita key-holders (5 por defecto, mínimo 3)
+      * ''vault operator init'' -> ceremonia de inicialización
+        * -key-shares
+        * -key-threshold
+        * llaves gpg/pgp enviadas al cluster
+          * retorna root-token, por encima de políticas y auditorias
+          * retorna llaves recuperación, una por cada key-holder, cifrada con su clave GPG
+        * se establece, a través del root-token:
+          * auth
+          * basic policy
+          * auditoria
+        * una vez hecho, se revoca la root-token y los key-holders ya pueden desaparecer (ya no hay manera de no hacer nada sin ellos)
+        * unsealing vault server
+          *
+          * ''vault operator unseal''
+        * guía securización: [[https://learn.hashicorp.com/vault/operations/production-hardening]]
+        * [[https://en.wikipedia.org/wiki/Secure_multi-party_computation]]
+        * [[https://en.wikipedia.org/wiki/Shamir%27s_Secret_Sharing]]
+== chap4:vault secret engines
+  * muy extensible
+    * Key/Value (KV)
+    * PKI
+    * SSH
+    * TOTP
+    * proveedores públicos
+    * ...
+  * ''vault secrets enable''
+  * ''vault secrets anable -path=aws-east aws''
+  * KV 2 versiones
+    * v1 no soporta versionado
+  * en modo de producción no se habilita por defecto
+  * ''vault secrets enable -version=2 kv''
+  * ''vautl kv put kv/a-secret value=1234''
+  * ''vautl kv put kv/a-secret value=4321''
+  * ''vault kv get -version=2 kv/a-secret''
+== chap5: vault authentication method
+  * usuarios
+    * ...
+  * aplicaciones
+    * ...
+  * ''vault auth enable''
+== otros
+  * [[http://nicolas.corrarello.com/general/vault/security/ci/2017/04/23/Reading-Vault-Secrets-in-your-Jenkins-pipeline.html]]
+  * [[https://www.vaultproject.io/docs/auth/ldap]]
+  * [[https://www.hashicorp.com/resources/managing-vault-with-terraform/]]
+  * [[https://www.vaultproject.io/docs/secrets/transform]]
+  * [[https://www.vaultproject.io/]]
+  * [[https://hashicorp.github.io/field-workshops-vault/slides/#1]]
+certificación vault