1.0 KiB
1.0 KiB
Подключаем внешний вольт к Gitlab-CI
- настраиваем метод jwt
vault auth enable jwt
vault write auth/jwt/config \
jwks_url="https://git.realmanual.ru/-/jwks" \
bound_issuer="git.realmanual.ru"
- создаем тестовый секрет
vault kv put secret/gitlab/db1 password='pa$$w0rd'
- настраиваем политику доступа к конкретному секрету
vault policy write gitlabci-policy - <<EOF
path "secret/data/gitlab/db1" {
capabilities = [ "read" ]
}
EOF
- создаем роль
vault write auth/jwt/role/gitlabci-role - <<EOF
{
"role_type": "jwt",
"policies": ["gitlabci-policy"],
"token_explicit_max_ttl": 60,
"user_claim": "user_email",
"bound_claims_type": "glob",
"bound_claims": {
"project_id": "121",
"ref_protected": "true",
"ref_type": "branch",
"ref": "main"
}
}
EOF
- смотрим пример .gitlab-ci.yml