问题描述
我有一个依赖 spring-cloud-starter-vault-config 的 Spring Boot 应用程序,所以我所有的秘密都被外化了。 我的应用程序使用具有预配置角色的 AWS IAM 身份验证:
cloud:
vault:
enabled: true
fail-fast: true
uri: http://vault.internal:8200
authentication: AWS_IAM
aws-iam:
role: vault_role_for_app
aws-path: aws
endpoint-uri: https://sts.amazonaws.com
此 Vault AWS 身份验证方法配置为在创建后 2 小时内删除令牌:
vault auth enable aws
vault write auth/aws/role/vault_role_for_app auth_type=iam \
bound_iam_principal_arn=arn:aws:iam::xxx:role/Launch-Role policies=vault_policy_for_app_to_read_secret max_ttl=2h
因此,在应用程序启动 2 小时后,我可以看到 Vault 令牌被丢弃:
17:20:45.835 [main] INFO org.eclipse.jetty.server.Server - Started @87308ms
***
19:20:20.616 [Spring-Cloud-Vault-1] INFO o.s.v.a.LifecycleAwareSessionManager - Renewing token
19:20:20.675 [Spring-Cloud-Vault-1] INFO o.s.v.a.LifecycleAwareSessionManager - Token TTL exceeded validity TTL thre
shold. Dropping token.
在令牌被删除后应用程序仍然有效,但为什么呢? 为什么我在应用程序日志中看不到新的令牌创建?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)