Подготовка к использованию

Предварительно получите от администратора хранилища секретов:

  • подтверждение, что секрет в хранилище секретов HashiCorp Vault создан. Один секрет может содержать несколько наборов аутентификационной информации в формате JSON;

  • токен для доступа к хранилищу секретов HashiCorp Vault;

  • метод доступа к секрету.

  1. Проверьте, что сервер хранилища секретов доступен: IP-адрес внесен в /etc/hosts или в локальный DNS организации.

  2. Проверьте номер и доступность порта, по которому выполняется защищенное HTTPS-подключение к хранилищу секретов. По умолчанию: :8200.

  3. Получите цепочку HTTPS-сертификатов сервера (хранилища секретов) в формате PEM.

    sudo openssl s_client \
  -connect hostname:8200 \ (1) (2)
  -showcerts \ (3)
  -servername hostname \ (4)
  > ~/hashicorp.pem (5)
    1 Флаг -connect показывает диагностическую информацию об SSL-подключении к серверу.
    2 hostname — имя сервера хранилища секретов.
    3 Флаг -showcerts, добавленный к -connect, показывает всю цепочку сертификатов сервера в формате PEM.
    4 Включение SNI.
    5 Экспорт полученной цепочки сертификатов в файл.

    Сохраните файл ~/hashicorp.pem, он потребуется при добавлении хранилища секретов.

  4. В конфигурационном файле модуля установите параметру use_secret_storage значение yes.

  5. В конфигурационном файле модуля удалите параметры username и password.