Vault¶

"Clase de la hoja"

########################################################################################################################################################################################################################################################## Copiar todos los comandos¶

########################################################################################################################################################################################################################################################## Generar PDF seleccionado/button¶

■/div titulada

HashiCorp Controles y flujos de trabajo de Vault para la gestión de secretos, cifrado y acceso seguro a datos sensibles.

Instalación¶

Command	Description
`vault version`	Show Vault version
`vault server -dev`	Start development server
`vault server -config=config.hcl`	Start with configuration file
`vault status`	Check server status

Autenticación básica¶

Command	Description
`vault auth -method=userpass username=myuser`	Login with username/password
`vault auth -method=ldap username=myuser`	Login with LDAP
`vault auth -method=github token=mytoken`	Login with GitHub
`vault auth -method=aws`	Login with AWS IAM
`vault auth -method=kubernetes`	Login with Kubernetes

Token Management¶

Command	Description
`vault token create`	Create new token
`vault token create -ttl=1h`	Create token with TTL
`vault token lookup`	Look up current token
`vault token renew`	Renew current token
`vault token revoke TOKEN`	Revoke specific token

Secrets Management¶

Secretos de valor clave (v2)¶

Command	Description
`vault kv put secret/myapp username=admin password=secret`	Store secret
`vault kv get secret/myapp`	Retrieve secret
`vault kv get -field=password secret/myapp`	Get specific field
`vault kv delete secret/myapp`	Delete secret
`vault kv list secret/`	List secrets
`vault kv metadata get secret/myapp`	Get metadata

Versiones secretas¶

Command	Description
`vault kv put secret/myapp @data.json`	Store from JSON file
`vault kv get -version=2 secret/myapp`	Get specific version
`vault kv rollback -version=1 secret/myapp`	Rollback to version
`vault kv destroy -versions=2,3 secret/myapp`	Destroy versions
`vault kv undelete -versions=2 secret/myapp`	Undelete versions

Base de datos Secrets Engine¶

Configuración de bases de datos¶

Command	Description
`vault secrets enable database`	Enable database engine
`vault write database/config/my-mysql-database plugin_name=mysql-database-plugin connection_url="\\{\\{username\\}\\}:\\{\\{password\\}\\}@tcp(localhost:3306)/" allowed_roles="my-role" username="vaultuser" password="vaultpass"`	Configure MySQL
`vault write database/roles/my-role db_name=my-mysql-database creation_statements="CREATE USER '\\{\\{name\\}\\}'@'%' IDENTIFIED BY '\\{\\{password\\}\\}';GRANT SELECT ON . TO '\\{\\{name\\}\\}'@'%';" default_ttl="1h" max_ttl="24h"`	Create role

Credenciales dinámicos¶

Command	Description
`vault read database/creds/my-role`	Generate database credentials
`vault write database/rotate-root/my-mysql-database`	Rotate root credentials

PKI (Infraestructura de clave pública)¶

PKI Setup¶

Command	Description
`vault secrets enable pki`	Enable PKI engine
`vault secrets tune -max-lease-ttl=87600h pki`	Set max TTL
`vault write pki/root/generate/internal common_name=example.com ttl=87600h`	Generate root CA
`vault write pki/config/urls issuing_certificates="http://vault.example.com:8200/v1/pki/ca" crl_distribution_points="http://vault.example.com:8200/v1/pki/crl"`	Configure URLs

Gestión de certificados¶

Command	Description
`vault write pki/roles/example-dot-com allowed_domains=example.com allow_subdomains=true max_ttl=72h`	Create role
`vault write pki/issue/example-dot-com common_name=test.example.com`	Issue certificate
`vault write pki/revoke serial_number=39:dd:2e:90:b7:23:1f:8d:d3:7d:31:c5:1b:da:84:d0:5b:65:31:58`	Revoke certificate

AWS Secrets Engine¶

Configuración AWS¶

Command	Description
`vault secrets enable aws`	Enable AWS engine
`vault write aws/config/root access_key=AKIAI... secret_key=R4nm...`	Configure root credentials
`vault write aws/roles/my-role credential_type=iam_user policy_document=-<<EOF \\{...\\} EOF`	Create IAM role

Credenciales de AWS¶

Command	Description
`vault read aws/creds/my-role`	Generate AWS credentials
`vault write aws/sts/my-role ttl=15m`	Generate STS credentials

Transit Secrets Engine¶

Configuración de cifrado¶

Command	Description
`vault secrets enable transit`	Enable transit engine
`vault write transit/keys/my-key type=aes256-gcm96`	Create encryption key
`vault write transit/encrypt/my-key plaintext=$(base64 <<< "my secret data")`	Encrypt data
`vault write transit/decrypt/my-key ciphertext=vault:v1:8SDd3WHDOjf7mq69CyCqYjBXAiQQAVZRkFM13ok481zoCmHnSeDX9vyf7w==`	Decrypt data

Gestión clave¶

Command	Description
`vault write transit/keys/my-key/rotate`	Rotate encryption key
`vault read transit/keys/my-key`	Read key information
`vault write transit/rewrap/my-key ciphertext=vault:v1:...`	Rewrap with latest key

Políticas¶

Policy Management¶

Command	Description
`vault policy write my-policy policy.hcl`	Create/update policy
`vault policy read my-policy`	Read policy
`vault policy list`	List all policies
`vault policy delete my-policy`	Delete policy

Ejemplo de política¶

# Read operation on the k/v secrets
path "secret/data/*" \\\\{
  capabilities = ["read"]
\\\\}

# Write operation on the k/v secrets
path "secret/data/myapp/*" \\\\{
  capabilities = ["create", "update"]
\\\\}

# Deny all access to secret/admin
path "secret/data/admin" \\\\{
  capabilities = ["deny"]
\\\\}

Métodos de Auth¶

Habilitar métodos Auth¶

Command	Description
`vault auth enable userpass`	Enable username/password
`vault auth enable ldap`	Enable LDAP
`vault auth enable github`	Enable GitHub
`vault auth enable aws`	Enable AWS IAM
`vault auth enable kubernetes`	Enable Kubernetes

Configure Auth Methods¶

Command	Description
`vault write auth/userpass/users/myuser password=mypass policies=my-policy`	Create user
`vault write auth/ldap/config url="ldap://ldap.example.com" userdn="ou=Users,dc=example,dc=com"`	Configure LDAP
`vault write auth/github/config organization=myorg`	Configure GitHub

Auditoría¶

Activar dispositivos de auditoría¶

Command	Description
`vault audit enable file file_path=/vault/logs/audit.log`	Enable file audit
`vault audit enable syslog`	Enable syslog audit
`vault audit list`	List audit devices
`vault audit disable file/`	Disable audit device

Alta disponibilidad " Clustering¶

Operaciones de agrupación¶

Command	Description
`vault operator init`	Initialize Vault cluster
`vault operator unseal`	Unseal Vault
`vault operator seal`	Seal Vault
`vault operator step-down`	Step down as leader
`vault operator raft list-peers`	List Raft peers

Recuperación¶

Command	Description
`vault operator raft snapshot save backup.snap`	Create snapshot
`vault operator raft snapshot restore backup.snap`	Restore snapshot

Ejemplos de configuración¶

Configuración del servidor¶

storage "consul" \\\\{
  address = "127.0.0.1:8500"
  path    = "vault/"
\\\\}

listener "tcp" \\\\{
  address     = "0.0.0.0:8200"
  tls_disable = 1
\\\\}

api_addr = "http://127.0.0.1:8200"
cluster_addr = "https://127.0.0.1:8201"
ui = true

Auto-unseal con AWS KMS¶

seal "awskms" \\\\{
  region     = "us-east-1"
  kms_key_id = "12345678-1234-1234-1234-123456789012"
\\\\}

Medio ambiente¶

Variable	Description
`VAULT_ADDR`	Vault server address
`VAULT_TOKEN`	Authentication token
`VAULT_NAMESPACE`	Vault namespace (Enterprise)
`VAULT_CACERT`	CA certificate file
`VAULT_CLIENT_CERT`	Client certificate file
`VAULT_CLIENT_KEY`	Client private key file

Buenas prácticas¶

Seguridad¶

** Habilitar TLS**: Utilizar siempre TLS en producción
El Privilege Bestia: Conceder permisos mínimos requeridos
Token TTL: Use tokens de corta duración
Audit Logging: Permitir una auditoría completa
Seal/Unseal: Implementar procedimientos adecuados de sellado/sinseal

Operaciones¶

High Availability: Despliegue en modo HA para la producción
** Estrategia de respuesta**: instantáneas regulares y copias de seguridad
Monitoring: Supervisar la salud y el rendimiento de Vault
Rotación: llave regular y rotación credencial
Access Patterns: Monitorear y analizar patrones de acceso

Desarrollo¶

Modo Dev: Usar el modo Dev sólo para el desarrollo
** Pruebas de política**: Políticas de prueba exhaustivamente
** Versión secreta**: Usar versión secreta para rollbacks
Integración: Integrar con oleoductos CI/CD
Documentación: documentar caminos y políticas secretos

Vault¶

########################################################################################################################################################################################################################################################## Copiar todos los comandos¶

########################################################################################################################################################################################################################################################## Generar PDF seleccionado/button¶

Instalación¶

Authentication " Login¶

Autenticación básica¶

Token Management¶

Secrets Management¶

Secretos de valor clave (v2)¶

Versiones secretas¶

Base de datos Secrets Engine¶

Configuración de bases de datos¶

Credenciales dinámicos¶

PKI (Infraestructura de clave pública)¶

PKI Setup¶

Gestión de certificados¶

AWS Secrets Engine¶

Configuración AWS¶

Credenciales de AWS¶

Transit Secrets Engine¶

Configuración de cifrado¶

Gestión clave¶

Políticas¶

Policy Management¶

Ejemplo de política¶

Métodos de Auth¶

Habilitar métodos Auth¶

Configure Auth Methods¶

Auditoría¶

Activar dispositivos de auditoría¶

Alta disponibilidad " Clustering¶

Operaciones de agrupación¶

Recuperación¶

Ejemplos de configuración¶

Configuración del servidor¶

Auto-unseal con AWS KMS¶

Medio ambiente¶

Buenas prácticas¶

Seguridad¶

Operaciones¶

Desarrollo¶