我们很荣幸地宣布Vault 0.5的发布。保险库是管理机密的工具。从API密钥和加密敏感数据到成为一个完整的内部CA，Vault旨在满足所有机密管理需要。此版本的重点是显著增强Vault的核心，添加一些期待已久的功能，同时对现有系统进行了一些巨大的改进。特色亮点包括：列出机密细粒度ACL拆分HA和数据存储后端重新密钥和解封改进，Keybase集成根令牌再生请查看完整的Vault 0.5更改日志以了解更多详细信息和大量改进列表。在这个版本中有更多的突破性的变化，所以请务必阅读本文末尾的升级信息。像往常一样，感谢我们的社区，感谢他们的想法、错误报告和拉取请求。继续阅读以了解有关Vault 0.5中主要新功能的更多信息。»上市Vault现在支持通过API和"新建Vault列表"命令执行列表操作。这是在generic和cubbyhole以及其他一些地方实现的（在API文档中，如果支持的话）。对于generic和cubbyhole，列表仅适用于目录，例如vault list secret/（使用CLI时，将自动为您附加一个尾部斜杠，但API的用户需要确保他们正确格式化了自己的路径。）成功的list命令将显示给定路径下的键和目录；目录将以/结尾。API用户可以通过使用list作为HTTP动词，或者通过在请求中附加查询参数list=true来触发列表操作。所有HashiCorp维护的API库都已经添加了对列表的支持。»细粒度访问控制在过去的Vault版本中，策略由映射到一组四个值中的一个（有点令人困惑地也称为每个路径语句的"policy"）的路径组成：deny（默认）、read、write和sudo。在本系统中，写包括读，sudo包括读和写。遇到的常见问题是用户拥有太多特权。例如，假设您有一个应用程序进入客户数据并将其写入通用后端装载中的某个位置。为了将数据写入适当的路径，应用程序需要写入权限：路径"custdata/\*"{policy="写入"}但是，这也意味着读取权限，因此劫持这个面向Internet的应用程序并访问其保险库令牌可能会允许提取客户数据。在Vault 0.5中，这四个值由一组不同的、可以独立指定的功能替换：创建、读取、更新、删除、列出、sudo和deny（与以前一样，deny是默认值，优先于在同一路径定义的任何其他功能）。它们严格控制在Vault中的任何给定路径上允许的操作，并且不相互暗示。可以为上一个示例中的应用程序分配一个策略，以提供创建和更新功能：路径"custdata/\*"{功能=\创建"，"更新"\]}这允许应用程序将客户数据写入保险库；但是，如果没有读取功能，攻击者可以劫持应用程序并获得对其保险库令牌的访问权限，则实际上无法将数据读回。作为另一个示例应用程序，以前，在受根保护的路径上授予具有sudo策略的令牌（这些路径通常非常敏感，并且需要特殊权限（根令牌或sudo策略）才能访问），这意味着该路径上的所有操作都被允许——读、写、删除。但是，组织可能希望允许对Vault中受根保护的路径进行读访问，而不允许操作员实际修改值，这是不可能的。在Vault 0.5中，sudo功能不同于构成路径权限集的其他功能，因此可以为这部分运算符赋予一组功能：capability=read"，"list"，"sudo"]，以允许他们读取和列出受根保护的路径上的值，但不能进行修改。一个重要的注意事项：并不是所有的后端都支持create和update之间的区别（尽管generic和cubbyhole都支持）。当一个后端（或一个特定的后端路径）支持这种区别时，会在文档中加以说明；否则这些功能将被视为同义词。为了向后兼容，以前的可分配策略现在每个都映射到一组功能，允许您继续使用Vault，而无需升级每个策略。有关详细信息，请参阅"访问控制策略"页。»拆分数据/高可用性物理后端许多公司实施的数据存储策略要求数据存储在特定的存储中。虽然这些存储可能被支持作为保险存储物理后端，但它们可能不支持HA。Vault 0.5增加了对在其配置文件中指定两个物理后端的支持：一个用于正常数据存储，另一个用于HA协调。后端"s3"{...}后台"领事"{...}在这个场景中，加密的保险库数据将存储在S3中，但是主/备用协调所需的HA功能将利用consur的本机锁支持。»重新密钥nonce、解封密钥存档和Keybase支持重新密钥尝试现在会在启动时生成nonce。保险库选择nonce的值，并将其传递给重新密钥尝试的发起者，发起者随后与其他解封密钥持有者共享nonce值，以便与他们的解封密钥一起提供。这样可以确保在不知道密钥持有者的情况下，第三方无法重置尝试；尽管这种攻击的效用很小，但它可能导致拒绝服务。（感谢Josh Snyder引起我们的注意！）此外，您现在可以将生成的密钥归档到后端存储中，以用于灾难恢复。此存档值超出了Vault的加密屏障；因此，仅当生成的密钥本身通过PGP覆盖时，此选项才可用。因为我们相信所有用户都应该使用PGP来保护重密钥过程，所以PGP密钥本身的使用变得更加容易：现在可以传入keybase:以动态地从keybase获取用户的公共PGP密钥，而不是PGP密钥列表中的文件名。下面将演示所有这些特性。首先，我们启动重新密钥尝试。添加备份标志以启用存档功能：$vault rekey-init-backup-key shares=1-密钥阈值=1-pgp key="钥匙座：杰弗雷"一次性：fb2b9109-6d1f-f115-db66-39C3A4DC705开始：真重点股：1股密钥阈值：1重新密钥进度：0所需密钥：1PGP密钥指纹：\[0f801f518ec853daff611e836528efcac6caa3db\]备份存储：真接下来，我们提供所需的解封密钥。请注意，当使用CLI以交互方式输入unsel键时，将显示nonce的值，但为了方便起见，不需要输入该值。否则，可以使用命令的"-nonce"标志来指定nonce：$vault重新密钥重新密钥操作：fb2b9109-6d1f-f115-db66-39c3a4dcc705密钥（将被隐藏）：密钥1指纹：0f801f518ec853daff611e836528efcac6caa3db；价值观：C1C04C03EEBC06B7A152D550108108108009236A396CFB7463DCB4222 Bff07DC50D1CBB58E71A2DD2124CC38ACA3A80B50D50D50Df352C04981CA47210210150812E8EC456D6DD6 D6 D6 D6 D6 D6 D6 A8 8 8的一条以该公司为例，该公司以该公司为例，以该公司为例，该公司以该公司为例，该公司以该公司为例，该公司以该公司为例，该公司以该公司为例，该公司以该公司为例，该公司以该公司为例，该公司以该公司为例，该公司以该公司为例，该公司以该公司以该公司为例，该公司以该公司的该D98DD5D4B340D5EFD9A202426C53460DF677CF1507F662C785B2736D09942AEBE507218D249本次采用的是ECD8。本次采用的是一种新型的方法，该方法能有效地提高本次开发的速度。本次开发的D99753A1B10型直流电二次开发是一种新型的。该方法能有效地提高对该种锅炉的使用寿命。该方法对该种新型锅炉的性能。该方法的应用表明，该方法能有效地提高锅炉的使用寿命。该方法对该种新型锅炉的使用情况进行了分析。结果表明，该锅炉在使用该种新型锅炉时，对该种新型锅炉的性能有一定的应用价值。该方法是一种新型的BBB型锅炉在使用该种新型锅炉上，该种新型锅炉在该种新型锅炉上是一种新型的。该方法是一种新型锅炉在该种新型锅炉上，该种新型锅炉在该种新型锅炉上，该种新型锅炉的975d04c453657587d51e262ac18142fabb3eec73b1439f742e12f471a66b8cfceb04363fbba5ecc699e1030ad34cb761b567bba781802e6da111de096e4187cd3cf89cb95c2cdeeb34909162c0e28f4cacf3e1859400操作编号：fb2b9109-6d1f-f115-db66-39c3a4dcc705加密的解封密钥已备份到"核心/解封密钥备份"在你的物理后端。你有责任移除这些如果需要的话。此时，加密密钥将显示给我们（与密钥指纹一起，用于识别），但命令还注意到加密的解封密钥已存储在核心/解封密钥备份的物理后端中。如果密钥丢失，这可以作为一种打破玻璃窗的方法来检索密钥，即使使用PGP加密，也应该确保在数据存储区周围有适当的保护措施。对于在Vault中具有正确权限的用户，可以通过API检索和删除该值：$vault重新密钥-检索键值钥匙[0F801F518EC853DAff61E836528EFCACACAA3DB：\[C1C04C037EEBC06B7A152D5501080092362361A5396CFB7463DCB8322BFF07DC50D1C81BBB5887E71A216D8D2124D2124CC38AC63A80B9E505050DF352C04981CA7DC4721021015081A27EE7463DCB8322B44B22B50D5050Df352C04981CA7DC4721015015081A27EF3EA37C456375DD6A4DF78E4596E4596E9E9E4596E9E9E9289754596E4596E9E9E9E9E9E9E9E9E8D772C9F990B86DC67E031DE7192E7F4446DC5B05690B7630D98DD5D4B340D5EFD9A202426C5此外，还采用了一种新的方法，即采用了一种新的方法。该方法的结果表明，用该方法对该种方法进行了一次比较，结果表明，该方法对该种方法的可靠性和可靠性都有一定的影响。该方法对该种方法进行了一定的处理，并对该方法进行了对比。结果表明，该方法对该种方法的可靠性和可靠性都有一定的影响。此外，该方法对该种方法进行了一种比较。该方法的结果表明，该方法对该种方法的结果是可靠的。该方法的结果表明，该方法对该种方法的结果是可靠的。该方法的结果表明，该方法是一种新型的。该方法是一种新型的。该方法对该方法的结果表明，该方法是可靠的。该方法对该方法的结果表明，该方法是可靠的一种方法E1C5费0cce056e1663ae0e5e2dfbb4160e068e6fee01ca6301975d04c453657587d51E262AC18142FABB3EEC73B1439F742E12F471A66B8CFCEB04363FBBA5ECC699E1030AD34CB761B567BBA781802E6DA111DE096E4187CD3CF89CB95C2DEEB3449091622C0E28F4CAF3E1859400\]]Nonce fb2b9109-6d1f-f115-db66-39c3a4dcc705$vault重新密钥-删除已删除存储的密钥。$vault重新密钥-检索检索存储的密钥时出错：发出API请求时出错。URL:获取：8200/v1/sys/rekey/备份代码：400。错误：\*找不到备份密钥»根令牌生成vault0.5的另一个新特性是能够通过解封密钥生成新的根令牌。这有助于灾难恢复，对我来说