1.1 KiB
1.1 KiB
Настраиваем PSQL на работу с динамическими секретами
- подключаем новый тип хранилища
vault secrets enable -path=psql database
- настраиваем конфиг и шаблон
vault write psql/config/testdb1 \
plugin_name=postgresql-database-plugin \
allowed_roles="db1-role" \
connection_url="postgresql://{{username}}:{{password}}@psql:5432/testdb1?sslmode=disable" \
username="testuser" \
password="password"
- добавляем роль
vault write psql/roles/db1-role \
db_name=testdb1 \
creation_statements="CREATE ROLE \"{{name}}\" WITH LOGIN PASSWORD '{{password}}' VALID UNTIL '{{expiration}}'; \
GRANT SELECT ON ALL TABLES IN SCHEMA public TO \"{{name}}\";" \
default_ttl="1h" \
max_ttl="24h"
- пробуем получить креды
vault read psql/creds/db1-role
- пробуем под ними авторизоваться
psql -d testdb1 -W -U v-root-db1-role-RocdQtHY9MIESxcLjrj3-1661411587
- смотрим юзеров
\du