Я не нашел исчерпывающей документации по протоколу, используемому для (автоматического) распечатывания Hashicorps Vault с использованием Cloud KMS. Насколько я понимаю, Vault использует сохраненные учетные данные API для запроса Cloud KMS и (несколько непонятная часть) получает доступ к главному ключу, который используется в процессе для вскрытия Vault.
Я собираюсь развернуть Vault сервера и требуют автоматического метода автоматического вскрытия Vault после, например, отключения питания. Ручная распечатка невозможна.
Я не вижу аргумента strong , предпочитающего автоматическое распечатывание Cloud KMS над локальным сценарием bash, который распечатывает хранилище с использованием мастер-ключа (осколка), хранящегося в файл с root доступом только для чтения.
Игнорирование физических угроз, для которых решение для файла сценария и мастер-ключа все еще требует root доступа, когда учетные данные Cloud KMS, конфигурация Vault и серверная часть Vault также доступны с равным или неполноценные привилегии, и, насколько я понимаю, позволяют злоумышленнику получить доступ к управляемым секретам.
В моем сценарии использования я также вижу возможность распечатывать хранилище без целевого доступа rnet.
Я знаю об общих преимуществах автоматического раскрытия KMS, но для небольшого развертывание на одном сервере, где все еще требуется автоматическое распечатывание, есть ли у вас какие-либо дополнительные проблемы? И действительно ли учетные данные API KMS необходимы для вскрытия хранилища ?! Как это должно быть безопасно?