雪花服务帐户安全，第3部分2020年7月15日|7分钟读取作者：乔纳森·桑德雪花保安在这个博客文章系列的第1部分和第2部分，雪花服务帐户安全，讨论了服务帐户的威胁，以及如何用雪花特性减轻这些威胁。第3部分演示了如何使用一个示例Hashicorp保险库插件管理凭证轮换。您可以使用许多平台来实现类似的结果。重要的是了解用于应用这些控件来保护服务帐户的模式使用凭证轮换提供的缓解措施下表显示了凭证轮换如何为我们的缓解带来好处：Vault插件的工作原理要获得完整的说明并获取用于测试的插件，请参阅github存储库以及代码和文档。下面两个场景演示了如何使用插件来实现强大的控件这些场景假设您已经完成了所有的设置。在第一个场景中，您使用插件创建具有非常特定权限的短暂用户。为此，您可以在Vault中创建角色。角色包含在雪花中正确创建用户的说明。然后，您可以从此保管库角色读取以获取临时用户名和密码我们将创建一个名为xvi的角色，然后调用它来获取用户： 这将导致在雪花中创建用户：此用户稍后将在租约到期时被Vault删除（这是来自Vault日志）：请注意与我们的缓解目标相关的几个关键点：角色创建的用户具有一组封装在其角色和仓库中的特定权限。这使我们可以创建一个拥有最少权限的用户。角色定义用户凭据处于活动状态的默认时间和最长时间。这将确保它是一个短暂的凭证我们的第二个场景旋转现有雪花用户的凭据。如果服务帐户的用户名对应用程序很重要，那么使用这种方法可以预先定义名称。同样，我们创建一个保险库角色来实现这一点。名为teamdp的角色将映射到名为bob的现有用户。我们将每五分钟轮换一次鲍勃的密码创建角色后，我们调用它以获取为其创建的新密码保险库。当我们稍后再调用它时，我们看到5分钟生存时间（TTL）倒计时。我们也可以对保险库角色调用rotate角色，这将强制立即旋转密码请注意与我们的缓解目标相关的几个关键点：角色定义用户密码有效的最长时间。这将确保它是一个短暂的凭证。任何拥有此密码的人都可以在有限的时间内使用它，然后再自动旋转。这有助于防止对持久服务帐户的不必要访问。程序使用密码完成后，可以调用rotate role立即将密码更改为新值。这将完全控制密码的生命周期，防止任何人访问。结论要防止攻击，必须自动控制服务帐户凭据。各种各样的系统可以帮助你建立自动化和创建一个移动目标，这是最难击中的目标。了解更多关于雪花的安全性。就像你读的？通过喜欢和分享来表达你的感激之情！Facebook推特LinkedIn