HashiCorp Vault

1. 祕密存儲與存取（Secrets Management）

◦ Vault 可以安全地存儲靜態機密（如數據庫密碼）並限制其存取。
◦ 使用者可以通過 API 或 CLI 動態檢索這些機密。

2. 動態憑證（Dynamic Secrets）

◦ Vault 可按需生成憑證或存取憑據（例如 AWS API 金鑰或資料庫用戶憑據）。
◦ 動態憑證的存活時間受 Vault 控制，過期後自動吊銷。

3. 加密即服務（Encryption as a Service）

◦ 提供加密與解密 API，開發人員可將 Vault 作為集中式加密後端使用。

4. 存取控制（Access Control）

◦ 基於細粒度的策略（Policy）來限制誰可以存取哪些機密。
◦ 支援多種認證方法，包括令牌（Token）、LDAP、Kubernetes、雲端提供商 IAM。

5. 審計與記錄（Auditing and Logging）

◦ 所有操作都被記錄，支持與常見的 SIEM 工具集成。

1. 初始化（Initialize）

◦ Vault 必須先進行初始化，生成主密鑰（Master Key），用於解密密鑰封存（Seal Key）。

2. 解封（Unseal）

◦ Vault 启动后需要用解封密钥（Unseal Key）解封以啟用服務。

3. 存取（Access）

◦ 客戶端通過認證方法取得存取權，然後基於策略獲取密鑰或憑證。

1. API 金鑰管理

◦ 安全地存取和管理雲端資源 API 金鑰，並控制其存活時間。

2. 動態資料庫憑證

◦ 為每個應用程式實例生成唯一的資料庫用戶名與密碼，避免共享靜態憑據。

3. 憑據輪替

◦ 內建支援密碼和憑證的自動更新與吊銷。

4. 加密數據

◦ 使用 Vault 進行資料加密而非自行實現加密邏輯。

1. 開發模式（Dev Mode）

◦ 用於測試和開發，單節點且無需解封過程。

2. 高可用性模式（HA Mode）

◦ 通過多節點部署實現高可用，使用存儲後端（如 Consul）同步狀態。

購買