我们很高兴地宣布发布HashiCorp vault0.10。Vault是一种基于身份的安全产品，它提供机密管理、加密即服务以及身份和访问管理，利用任何可信的身份源强制访问系统、机密和应用程序。Vault的0.10版本提供了新功能，以帮助实现机密管理的自动化，并增强Vault在多云环境中本机运行的能力。除了这个新功能之外，vault0.10还将开放Web用户界面的源代码。0.10中的新功能包括：K/V Secrets Engine v2 with Secret Versioning:Vault的Key-Value Secrets引擎现在支持附加功能，包括机密版本控制和检查和设置操作。Vault的许多版本都是开放源代码的，而现在Vault的许多版本都是开源的。根数据库凭据轮换：由Vault的组合DB secrets引擎控制的数据库的根/管理员凭据现在可以安全地旋转，只有Vault知道新凭据。Azure身份验证方法：Azure计算机现在可以通过其Azure Active Directory凭据登录到保险库。GCP Secrets Engine:Vault现在可以创建用于访问Google云平台环境的动态IAM凭据。该版本还包括附加的新功能、安全工作流增强、常规改进和错误修复。Vault 0.10变更日志提供了功能、增强功能和错误修复的完整列表。和往常一样，我们向社区致谢，感谢他们的想法、错误报告和拉取请求。»K/V机密引擎v2在vault0.10中，是一个经过改进的密钥/值机密引擎，允许对机密进行版本控制，并通过检查和设置操作进行更新。可以在Vault中读取和写入单个值的多个版本。这些功能可以通过API以及CLI中新的vault kv子命令获得。由于K/V Secrets引擎版本1和版本2的API不同，为了向后兼容，在0.10版本中，在Vault中创建的新K/V装载将不支持版本，除非明确启用。可以升级现有的K/V装载以启用版本控制，但是不支持将K/V装载降级到未版本化的K/V。新的vaultkv子命令透明地处理API中的更改，以便于使用secrets引擎的两个版本。要装载K/V Secrets引擎的新版本实例，请发出以下CLI命令：$vault secrets启用kv-v2可以使用"启用版本控制"从CLI升级现有的非版本化K/V实例：$vault kv启用版本控制机密/成功！把秘密引擎调到：秘密/通过vault kv子命令将数据写入受版本控制的K/V装载，类似于通过vault write写入机密：$vault kv put secret/my secret我的值=shh键值--- -----创建时间2018-03-30T22:11:48.589157362Z删除时间不适用毁了假版本1新版本的K/V挂载（以及vaultkv子命令）支持编写多个版本。这可以使用可选的Check and Set（或-cas标志）来执行。如果-cas=0，则只在密钥不存在的情况下执行写入。如果索引为非零，则只有当密钥的当前版本与cas参数中指定的版本匹配时，才允许写入。$vault kv put-cas=1秘密/我的秘密我的价值=itsasecret键值--- -----创建时间2018-03-30T22:18:37.124228658Z删除时间不适用毁了假版本2现在通过kv get读取机密时，当前版本显示：$vault kv获得秘密/我的秘密=====元数据======键值--- -----创建时间2018-03-30T22:18:37.124228658Z删除时间不适用毁了假版本2=====数据======键值--- -----我的价值观但是，仍然可以通过-version标志访问该机密的以前版本：$vault kv get-version=1秘密/我的秘密=====元数据======键值--- -----创建时间2018-03-30T22:16:39.808909557Z删除时间不适用毁了假版本1=====数据======键值--- -----我的价值嘘使用vault kv删除版本化数据有两种方法：vault kv delete和vault kv destroy。vault kv delete执行软删除，将版本标记为已删除，并创建删除时间戳。使用vault kv delete删除的数据可以使用vault kv undelete取消删除例如，只需运行vault kv delete就可以软删除最新版本的机密。可以使用-versions标志删除特定版本。$vault kv删除秘密/我的秘密成功！删除的数据（如果存在）：secret/my secret使用vault kv delete软删除的版本可以通过vault kv undelete恢复$vault kv取消删除-版本=2机密/我的机密成功！数据写入：secret/undelete/my secret$vault kv获得秘密/我的秘密=====元数据======键值--- -----创建时间2018-03-30T22:18:37.124228658Z删除时间不适用毁了假版本2=====数据======键值--- -----我的价值观但是，通过保险库kv销毁删除的数据无法恢复。$vault kv destroy-versions=2秘密/我的秘密成功！数据写入：secret/destroy/my secret新的K/V机密引擎支持许多附加功能，包括元数据和新的ACL策略规则。有关K/V机密引擎的更多信息，请参阅文档。»开源Vault UI在vault0.10中，我们致力于开放UI的源代码。现在，Vault的所有版本都包含UI，它使核心机密管理、加密即服务、身份和访问管理能够在Vault的UI中以本机方式完成，以及用于管理Vault环境部署的核心系统配置任务。用户界面也进行了更新，包括用于管理身份验证方法和策略的新扩展，允许在GUI中更方便地配置Vault的用户能够管理RBAC的机密和系统配置。有关更多信息，请参见Vault OSS UI简介教程。»根数据库凭据循环通过组合DB Secrets引擎配置的数据库的根/管理员凭据现在支持轮换。此功能允许在使用系统配置Vault时立即旋转提供给Vault的凭据，确保Vault是已配置数据库的管理员或根凭据的唯一记录系统。这些还可以根据需要随时轮换。根凭证轮换的目的是最小化管理员凭证的"秘密蔓延"，最大限度地减少这种非常敏感的数据被用于获得对数据库的不当访问的可能性。当与自动化和脚本结合使用时，凭证轮换旨在允许Vault在高度安全的环境中运行，在这种环境中，引导是自动化的，而不是Vault的系统可能会暴露于根凭据。根凭证轮换与动态机密是互补的。动态机密使Vault能够根据需要为客户机创建短暂的凭据，但Vault本身需要一个长期有效的凭据，以便持久访问底层系统。自动化此持久连接的旋转可以提高保险库的整体安全性。»Azure身份验证方法Vault 0.10现在支持与Azure Active Directory（或AAD）的集成，以允许Vault使用AAD计算机凭据对Vault用户进行身份验证。Azure Auth方法旨在允许在Azure中本机托管的应用程序简化其对Vault的身份验证，从而简化登录到Vault环境和访问授权给该应用程序的数据的工作流。尽管vault0.10版本侧重于Azure计算机凭据，但我们正积极与Microsoft合作，以支持未来版本的Vault的其他Azure Active Directory凭据类型。有关azureactivedirectory身份验证方法的更多信息，请参阅Azure的博客Scaling Secrets in Azure:HashiCorp Vault speakes Azure Active Directory。»GCP机密引擎保险库团队一直在与谷歌合作开发秘密引擎和认证方法，以便与谷歌云平台集成。Vault 0.10将继续我们与GCP Secrets Engine的合作关系，该引擎允许Vault用户创建用于访问Google云平台基础设施的动态GCP凭据。这允许向需要使用动态机密模式访问GCP的应用程序提供短期凭据。有关GCP Secrets引擎的更多信息，请参阅Google的博客How to dynamic generate GCP IAM credentials with a new HashiCorp Vault Secrets Engine。»其他特性Vault 0.10中有许多新功能是在0.9.x版本中开发的。我们总结了下面几个较大的特性，并一如既往地参考变更日志以获得完整的细节。选择性HMAC：可以将从Vault中的后端发送到审核日志的数据配置为选择性HMAC值。这使得siem更容易审核网络和应用程序基础架构中的用户活动，以及响应团队按时间顺序分析安全事件。返回数据的安全增强：API中包含机密数据的字段在读取时不再返回此数据，从而最大限度地减少了存储在Vault中的数据的暴露。新的CLI和API更新：对Vault CLI和API进行了更新，以简化Vault中的常见用例和Vault系统的配置。gRPC对后端插件的支持：为存储后端、身份验证方法和秘密引擎编写的插件现在支持gRPC，允许它们用Go以外的语言编写。GCP云扳手存储后端：GCP云扳手现在是一个受支持的存储后端插件。ChaCha20-Poy1305支持：运输秘密引擎