#amazon-iam #hashicorp-vault
#amazon-iam #hashicorp-хранилище
Вопрос:
Я использую Hashicorp vault для создания пользователей с помощью AWS Secrets-Engine. У меня проблема с использованием учетных данных AWS, которые я получаю, вероятно, потому, что требуется время для обновления всех серверов AWS с новым созданным пользователем, как указано здесь
. Я использую Hashicorp Vault для создания пользователей AWS во время выполнения и использую учетные данные, которые я получаю немедленно. На практике может возникнуть задержка до нескольких секунд, пока я действительно не смогу их использовать. Помимо выполнения некоторого механизма повторных попыток, мне интересно, существует ли реальное решение этой проблемы или, по крайней мере, более элегантное решение
Ответ №1:
Поскольку AWS IAM обещает конечную согласованность, мы не можем сделать ничего лучше, чем отложить и надеяться на лучшее. Плохая часть в том, что мы не знаем, как долго мы должны спать, пока новые ключи не достигнут всех конечных точек.
Это проблема с поведением IAM, на самом деле это не проблема хранилища. Есть своего рода обходной путь, подобный этому:
- создайте нового временного пользователя, сгенерируйте для него ключи, передайте ключи отправителю запроса хранилища
2. используйте временного пользователя, создайте для него новую пару ключей и т. Д
Не тестировал это, но как идея попробовать, я думаю, все в порядке.
Ответ №2:
HashiCorp опубликовала изменения в том, как они обрабатывают динамически создаваемых пользователей IAM, и поставщик хранилища теперь учитывает эту задержку. https://github.com/terraform-providers/terraform-provider-vault/blob/master/CHANGELOG.md#260-november-08-2019 С момента этого обновления я редко сталкиваюсь с проблемами, но они возникают время от времени.