Бэкапы для HashiCorp Vault с разными бэкендами / Comments / Habr

onyxmaster May 26 2021 at 10:03

С бэкапами Vault всё не так просто, если используется альтернативный unseal типа awskms:)

site6893 May 26 2021 at 10:48

а можете раскрыть подетальнее, в скором времени тоже прийдется с этим столкнутся.

onyxmaster May 26 2021 at 10:55

Вкратце -- рекомендую почитать hashicorp/vault#9421. Резервная копия получается зашифрованная и расшифровать её можно только при помощи того же ключа, который её шифровал (а ключи, которые генерировались при init для этого бесполезны). У нас своя реализация awskms, мы решили вопрос тем, что генерируем ключ сами, записываем на физические токены и держим в сейфе password-protected paper backup. В реальном AWS вероятно нужно использовать customer-managed keys.

site6893 May 26 2021 at 16:38

спасибо

UFO just landed and posted this here

onyxmaster May 26 2021 at 10:50

Raft.