Vault HS256 key rotation pas de downtime

Question

salut la mif, on a des secrets signés par vault avec des clés hs256 faut les rotater tous les mois mais à chaque fois ça fait un petit creux sur le service parce que la clé est rechargée après un redémarrage du service d'appli. on cherche un moyen de faire ça à chaud sans downtime. des pistes pour que vault gère ça mieux ou une strat côté app ?
{
  "type": "transit",
  "purpose": "signing",
  "signing_algorithm": "hs256"
}

jourdan-andre · Answer

pour le transit engine vault supporte le key rotation avec plusieurs versions de clés tu peux créer une nouvelle version et les clients peuvent utiliser l'ancienne tant qu'elle est pas désactivée il faut que ton appli soit capable de gérer plusieurs clés pour la validation des signatures c le point clé

anastasie60 · Answer

exactement le secret c'est côté appli il faut qu'elle puisse essayer plusieurs clés de signature en cascade quand elle valide une signature quand la nouvelle clé est dispo elle peut la charger et essayer l'ancienne si la nouvelle échoue

madeleine-rolland · Answer

ok je vois donc on publie la nouvelle clé, les applis l'ont puis après un certain temps on désactive l'ancienne côté vault c ça ? faut un mécanisme de push pour la nouvelle clé ou l'appli doit puller ?

jourdan-andre · Answer

plutôt pull côté appli elle demande la clé à vault et vault lui retourne la version active. quand tu rotates vault va juste retourner la nouvelle version mais l'ancienne reste dispo pour la validation jusqu'à ce que tu la "prune" via l'api transit/keys/<key_name>/rotate

madeleine-rolland · Answer

d'acc je vais regarder ça avec l'équipe dev merci pour les infos c'est plus clair déjà

Vault HS256 key rotation pas de downtime

Commentaires

Laisser une réponse

Introduction au cours complet sur Ansible

Conclusion du cours complet sur la technologie Docker

Gérer et manipuler les ReplicaSets Kubernetes

Rejoindre la communauté