5 commentaires
pour le transit engine vault supporte le key rotation avec plusieurs versions de clés tu peux créer une nouvelle version et les clients peuvent utiliser l'ancienne tant qu'elle est pas désactivée il faut que ton appli soit capable de gérer plusieurs clés pour la validation des signatures c le point clé
exactement le secret c'est côté appli il faut qu'elle puisse essayer plusieurs clés de signature en cascade quand elle valide une signature quand la nouvelle clé est dispo elle peut la charger et essayer l'ancienne si la nouvelle échoue
ok je vois donc on publie la nouvelle clé, les applis l'ont puis après un certain temps on désactive l'ancienne côté vault c ça ? faut un mécanisme de push pour la nouvelle clé ou l'appli doit puller ?
plutôt pull côté appli elle demande la clé à vault et vault lui retourne la version active. quand tu rotates vault va juste retourner la nouvelle version mais l'ancienne reste dispo pour la validation jusqu'à ce que tu la "prune" via l'api transit/keys/<key_name>/rotate
d'acc je vais regarder ça avec l'équipe dev merci pour les infos c'est plus clair déjà
Laisser une réponse
Vous devez être connecté pour poster un message !
salut la mif, on a des secrets signés par vault avec des clés hs256 faut les rotater tous les mois mais à chaque fois ça fait un petit creux sur le service parce que la clé est rechargée après un redémarrage du service d'appli. on cherche un moyen de faire ça à chaud sans downtime. des pistes pour que vault gère ça mieux ou une strat côté app ?