Guia abrangente de comandos e fluxos de trabalho do HashiCorp Vault para gerenciamento de segredos, criptografia e acesso seguro a dados sensíveis.
Instalação e Configuração
| Comando | Descrição |
|---|
vault version | Mostrar versão do Vault |
vault server -dev | Iniciar servidor de desenvolvimento |
vault server -config=config.hcl | Comece com o arquivo de configuração |
vault status | Verificar status do servidor |
Autenticação e Login
Autenticação Básica
| Comando | Descrição |
|---|
vault auth -method=userpass username=myuser | Fazer login com nome de usuário/senha |
vault auth -method=ldap username=myuser | Login com LDAP |
vault auth -method=github token=mytoken | Fazer login com GitHub |
vault auth -method=aws | Faça login com AWS IAM |
vault auth -method=kubernetes | Login com Kubernetes |
Gerenciamento de Tokens
| Comando | Descrição |
|---|
vault token create | Criar novo token |
vault token create -ttl=1h | Criar token com TTL |
vault token lookup | Consultar token atual |
vault token renew | Renovar token atual |
vault token revoke TOKEN | Revogar token específico |
Gerenciamento de Segredos
Segredos Key-Value (v2)
| Comando | Descrição |
|---|
vault kv put secret/myapp username=admin password=secret | Armazenar segredo |
vault kv get secret/myapp | Recuperar segredo |
vault kv get -field=password secret/myapp | Obter campo específico |
vault kv delete secret/myapp | Excluir segredo |
vault kv list secret/ | Listar segredos |
vault kv metadata get secret/myapp | Obter metadados |
Versões de Segredos
| Comando | Descrição |
|---|
vault kv put secret/myapp @data.json | Armazenar a partir de arquivo JSON |
vault kv get -version=2 secret/myapp | Obter versão específica |
vault kv rollback -version=1 secret/myapp | Reverter para versão |
vault kv destroy -versions=2,3 secret/myapp | Destruir versões |
vault kv undelete -versions=2 secret/myapp | Recuperar versões |
Secrets Engine de Banco de Dados
Configuração de Banco de Dados
| Comando | Descrição |
|---|
vault secrets enable database | Habilitar mecanismo de banco de dados |
vault write database/config/my-mysql-database plugin_name=mysql-database-plugin connection_url="\\{\\{username\\}\\}:\\{\\{password\\}\\}@tcp(localhost:3306)/" allowed_roles="my-role" username="vaultuser" password="vaultpass" | Configurar MySQL |
vault write database/roles/my-role db_name=my-mysql-database creation_statements="CREATE USER '\\{\\{name\\}\\}'@'%' IDENTIFIED BY '\\{\\{password\\}\\}';GRANT SELECT ON *.* TO '\\{\\{name\\}\\}'@'%';" default_ttl="1h" max_ttl="24h" | Criar função |
Credenciais Dinâmicas
| Comando | Descrição |
|---|
vault read database/creds/my-role | Gerar credenciais de banco de dados |
vault write database/rotate-root/my-mysql-database | Girar credenciais de root |
PKI (Infraestrutura de Chave Pública)
Configuração de PKI
| Comando | Descrição |
|---|
vault secrets enable pki | Habilitar mecanismo PKI |
vault secrets tune -max-lease-ttl=87600h pki | Definir TTL máximo |
vault write pki/root/generate/internal common_name=example.com ttl=87600h | Gerar root CA |
vault write pki/config/urls issuing_certificates="http://vault.example.com:8200/v1/pki/ca" crl_distribution_points="http://vault.example.com:8200/v1/pki/crl" | Configurar URLs |
Gerenciamento de Certificados
| Comando | Descrição |
|---|
vault write pki/roles/example-dot-com allowed_domains=example.com allow_subdomains=true max_ttl=72h | Criar função |
vault write pki/issue/example-dot-com common_name=test.example.com | Emitir certificado |
vault write pki/revoke serial_number=39:dd:2e:90:b7:23:1f:8d:d3:7d:31:c5:1b:da:84:d0:5b:65:31:58 | Revogar certificado |
AWS Secrets Engine
Configuração AWS
| Comando | Descrição |
|---|
vault secrets enable aws | Habilitar motor AWS |
vault write aws/config/root access_key=AKIAI... secret_key=R4nm... | Configurar credenciais de root |
vault write aws/roles/my-role credential_type=iam_user policy_document=-<<EOF \\{...\\} EOF | Criar função IAM |
Credenciais AWS
| Comando | Descrição |
|---|
vault read aws/creds/my-role | Gerar credenciais AWS |
vault write aws/sts/my-role ttl=15m | Gerar credenciais STS |
Transit Secrets Engine
Configuração de Criptografia
| Comando | Descrição |
|---|
vault secrets enable transit | Ativar motor de trânsito |
vault write transit/keys/my-key type=aes256-gcm96 | Criar chave de criptografia |
vault write transit/encrypt/my-key plaintext=$(base64 <<< "my secret data") | Criptografar dados |
vault write transit/decrypt/my-key ciphertext=vault:v1:8SDd3WHDOjf7mq69CyCqYjBXAiQQAVZRkFM13ok481zoCmHnSeDX9vyf7w== | Descriptografar dados |
Gerenciamento de Chaves
| Comando | Descrição |
|---|
vault write transit/keys/my-key/rotate | Girar chave de criptografia |
vault read transit/keys/my-key | Ler informações importantes |
vault write transit/rewrap/my-key ciphertext=vault:v1:... | Reenvolver com a chave mais recente |
Políticas
Gerenciamento de Políticas
| Comando | Descrição |
|---|
vault policy write my-policy policy.hcl | Criar/atualizar política |
vault policy read my-policy | Ler política |
vault policy list | Listar todas as políticas |
vault policy delete my-policy | Política de exclusão |
Exemplo de Política
# Read operation on the k/v secrets
path "secret/data/*" \\\\{
capabilities = ["read"]
\\\\}
# Write operation on the k/v secrets
path "secret/data/myapp/*" \\\\{
capabilities = ["create", "update"]
\\\\}
# Deny all access to secret/admin
path "secret/data/admin" \\\\{
capabilities = ["deny"]
\\\\}
Métodos de Autenticação
Habilitar Métodos de Autenticação
| Comando | Descrição |
|---|
vault auth enable userpass | Ativar nome de usuário/senha |
vault auth enable ldap | Habilitar LDAP |
vault auth enable github | Ativar GitHub |
vault auth enable aws | Habilitar AWS IAM |
vault auth enable kubernetes | Habilitar Kubernetes |
Configurar Métodos de Autenticação
| Comando | Descrição |
|---|
vault write auth/userpass/users/myuser password=mypass policies=my-policy | Criar usuário |
vault write auth/ldap/config url="ldap://ldap.example.com" userdn="ou=Users,dc=example,dc=com" | Configurar LDAP |
vault write auth/github/config organization=myorg | Configurar GitHub |
Registro de Auditoria
Habilitar Dispositivos de Auditoria
| Comando | Descrição |
|---|
vault audit enable file file_path=/vault/logs/audit.log | Habilitar auditoria de arquivo |
vault audit enable syslog | Habilitar auditoria de syslog |
vault audit list | Listar dispositivos de auditoria |
vault audit disable file/ | Desativar dispositivo de auditoria |
Alta Disponibilidade e Clustering
Operações de Cluster
Would you like me to continue with the remaining translations?
| Comando | Descrição |
|---|
vault operator init | Inicializar cluster do Vault |
vault operator unseal | Desbloquear Vault |
vault operator seal | Cofre Seal |
vault operator step-down | Renunciar como líder |
vault operator raft list-peers | Listar pares Raft |
| Comando | Descrição |
|---|
vault operator raft snapshot save backup.snap | Criar snapshot |
vault operator raft snapshot restore backup.snap | Restaurar snapshot |
Configuração do Servidor
storage "consul" \\\\{
address = "127.0.0.1:8500"
path = "vault/"
\\\\}
listener "tcp" \\\\{
address = "0.0.0.0:8200"
tls_disable = 1
\\\\}
api_addr = "http://127.0.0.1:8200"
cluster_addr = "https://127.0.0.1:8201"
ui = true
seal "awskms" \\\\{
region = "us-east-1"
kms_key_id = "12345678-1234-1234-1234-123456789012"
\\\\}
```### Auto-desselamento com AWS KMS
| Variável | Descrição |
|----------|-------------|
| `VAULT_ADDR` | Endereço do servidor Vault |
| `VAULT_TOKEN` | Token de autenticação |
| `VAULT_NAMESPACE` | Espaço de nomes do Vault (Enterprise) |
| `VAULT_CACERT` | Arquivo de certificado CA |
| `VAULT_CLIENT_CERT` | Arquivo de certificado de cliente |
| `VAULT_CLIENT_KEY` | Arquivo de chave privada do cliente |## Variáveis de Ambiente
