IBM Cloud Docs
Comandos da CLI do Vault

Comandos da CLI do Vault

É possível usar a interface da linha de comandos (CLI) do HashiCorp Vault para interagir com o IBM Cloud® Secrets Manager.

Secrets Manager usa o HashiCorp Vault com suporte adicional para o método IBM Cloud IAM auth e um conjunto de mecanismos secretos para dar suporte a operações em Secrets Manager para vários tipos de segredo.

Antes de começar, configure a CLI do Vault para que você possa acessar sua instância do Secrets Manager usando os comandos do Vault. Para saber mais sobre como usar a CLI do Vault, consulte a documentação do Vault.

Efetuar login

Configurar um token de login

Use esse comando para configurar os tempos de vida (TTL e MaxTTL) de um token de login do Vault.

vault write auth/ibmcloud/manage/login [token_ttl=DURATION] [token_max_ttl=MAX_DURATION]

Pré-requisitos

É necessária a função de serviço Gerenciador para gerenciar a configuração de tokens de login.

Opções de comando

token_ttl
O tempo de vida (TTL) inicial do token de login a ser gerado. O padrão é 1h.
token_max_ttl
O tempo máximo de vida do token de login. O padrão é 24h. Este valor não pode exceder o valor MaxLeaseTTL do Vault.

Exemplos

Configure um token de login do Vault inserindo 30m para o tempo de vida inicia e 2h para o tempo de vida máximo.

vault write auth/ibmcloud/manage/login token_ttl=30m token_max_ttl=2h

Saída

O comando retorna a saída a seguir:

Success! Data written to: auth/ibmcloud/manage/login

Visualizar a configuração de um token

Use esse comando para visualizar a configuração de um token de login do Vault.

vault read [-format=FORMAT] auth/ibmcloud/manage/login

Pré-requisitos

É necessária a função de serviço Gerenciador para gerenciar a configuração de tokens de login.

Opções de comando

-formato
Imprime a saída no formato especificado. Os formatos válidos são table, json e yaml. O padrão é table. Também é possível configurar o formato de saída usando a variável de ambiente VAULT_FORMAT.

Exemplos

Visualize a configuração de login de um token do Vault no formato JSON.

vault read -format=json auth/ibmcloud/manage/login

Saída

O comando retorna a saída a seguir:

{
    "request_id": "4dec6b8a-a277-0755-617c-97e40bcc7c3e",
    "lease_id": "",
    "lease_duration": 0,
    "renewable": false,
    "data": {
        "login": {
        "token_max_ttl": "2h0m0s",
        "token_ttl": "30m0s"
    }
    },
    "warnings": null
}

Grupos de segredos

Criar um grupo de segredos

Use esse comando para criar um grupo de segredos.

vault write [-format=FORMAT] auth/ibmcloud/manage/groups name=NAME [description="DESCRIPTION"]

Pré-requisitos

É necessária a função de serviço Gerenciador para criar grupos de segredos.

Opções de comando

nome
O alias legível por humanos que você deseja designar ao grupo de segredos. Obrigatório.
descrição
Uma descrição estendida do grupo de segredo.
-formato
Imprime a saída no formato especificado. Os formatos válidos são table, json e yaml. O padrão é table. Também é possível configurar o formato de saída usando a variável de ambiente VAULT_FORMAT.

Exemplos

Crie um grupo de segredos com um nome e uma descrição.

vault write auth/ibmcloud/manage/groups name="my-secret-group" description="A group of secrets."

Saída

O comando retorna a saída a seguir:

Key            Value
---            -----
created_at     2020-10-05T17:43:49Z
description    A group of secrets.
id             9c6d20ad-779e-27c5-3842-2a20b19abfcf
name           my-secret-group
type           application/vnd.ibm.secrets-manager.secret.group+json
updated_at     n/a

Listar grupos de segredos

Use este comando para listar os grupos de segredos que estão disponíveis na sua instância do Secrets Manager.

vault read [-format=FORMAT] auth/ibmcloud/manage/groups

Pré-requisitos

É necessária a função de serviço Leitor para listar grupos de segredos.

Opções de comando

-formato
Imprime a saída no formato especificado. Os formatos válidos são table, json e yaml. O padrão é table. Também é possível configurar o formato de saída usando a variável de ambiente VAULT_FORMAT.

Exemplos

Recupere uma lista de grupos de segredos no formato JSON.

vault read -format=json auth/ibmcloud/manage/groups

Saída

O comando retorna a saída a seguir:

{
    "request_id": "62051bde-9703-101c-a328-90a377a8bb77",
    "lease_id": "",
    "lease_duration": 0,
    "renewable": false,
    "data": {
        "groups": [
        {
        "created_at": "2020-10-05T17:43:49Z",
        "description": "A group of secrets.",
        "id": "9c6d20ad-779e-27c5-3842-2a20b19abfcf",
        "name": "my-secret-group",
        "type": "application/vnd.ibm.secrets-manager.secret.group+json",
        "updated_at": ""
        }
    ]
    },
    "warnings": null
}

Obter um grupo de segredos

Use esse comando para obter os detalhes de um grupo de segredos.

vault read [-format=FORMAT] auth/ibmcloud/manage/groups/SECRET_GROUP_ID

Pré-requisitos

É necessária a função de serviço Leitor para obter os detalhes de um grupo de segredos.

Opções de comando

-formato
Imprime a saída no formato especificado. Os formatos válidos são table, json e yaml. O padrão é table. Também é possível configurar o formato de saída usando a variável de ambiente VAULT_FORMAT.

Exemplos

Obtenha os detalhes de um grupo de segredos específico no formato JSON.

vault read -format=json auth/ibmcloud/manage/groups/9c6d20ad-779e-27c5-3842-2a20b19abfcf

Saída

O comando retorna a saída a seguir:

{
    "request_id": "ab6b22d9-8e42-d23f-31d8-a4865b5a40e7",
    "lease_id": "",
    "lease_duration": 0,
    "renewable": false,
    "data": {
        "created_at": "2020-10-05T17:43:49Z",
    "description": "A group of secrets.",
    "id": "9c6d20ad-779e-27c5-3842-2a20b19abfcf",
    "name": "my-secret-group",
    "type": "application/vnd.ibm.secrets-manager.secret.group+json",
    "updated_at": ""
    },
    "warnings": null
}

Atualizar um grupo de segredos

Use esse comando para atualizar um grupo de segredos.

vault write [-format=FORMAT] auth/ibmcloud/manage/groups/SECRET_GROUP_ID name=NAME [description="DESCRIPTION"]

Pré-requisitos

É necessária a função de serviço Gerenciador para atualizar grupos de segredos.

Opções de comando

nome
O alias legível por humanos que você deseja designar ao grupo de segredos. Obrigatório.
descrição
Uma descrição estendida do grupo de segredo.
-formato
Imprime a saída no formato especificado. Os formatos válidos são table, json e yaml. O padrão é table. Também é possível configurar o formato de saída usando a variável de ambiente VAULT_FORMAT.

Exemplos

Atualize o nome e a descrição de um grupo de segredos.

vault write auth/ibmcloud/manage/groups/9c6d20ad-779e-27c5-3842-2a20b19abfcf name="my-updated-secret-group" description="An updated group of secrets."

Saída

O comando retorna a saída a seguir:

Key            Value
---            -----
created_at     2020-10-05T17:43:49Z
description    An updated group of secrets.
id             9c6d20ad-779e-27c5-3842-2a20b19abfcf
name           my-updated-secret-group
type           application/vnd.ibm.secrets-manager.secret.group+json
updated_at     2020-10-05T17:56:56Z

Excluir um grupo de segredos

Use esse comando para excluir um grupo de segredos.

vault delete auth/ibmcloud/manage/groups/SECRET_GROUP_ID

Pré-requisitos

É necessária a função de serviço Gerenciador para excluir grupos de segredos.

Exemplos

Exclua um grupo de segredos pelo ID designado dele.

vault delete auth/ibmcloud/manage/groups/9c6d20ad-779e-27c5-3842-2a20b19abfcf

Saída

O comando retorna a saída a seguir:

Success! Data deleted (if it existed) at: auth/ibmcloud/manage/groups/9c6d20ad-779e-27c5-3842-2a20b19abfcf

Segredos estáticos

Criar um segredo

Use os comandos a seguir para incluir um segredo estático, como uma credencial do usuário ou um segredo arbitrário, na sua instância do Secrets Manager. Os valores permitidos para SECRET_TYPE são: arbitrary,imported_cert, kv, private_cert, public_cert e username_password.

Crie um segredo no grupo de segredos default.

vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets name=NAME [description="DESCRIPTION"] [username=USERNAME] [password=USERNAME] [payload=DATA] [expiration_date=EXPIRATION] [certificate=CERTIFICATE_DATA] [private_key=PRIVATE_KEY_DATA] [intermediate=INTERMEDIATE_CERTIFICATE_DATA] [ca=CA_CONFIGURATION_NAME] [dns=DNS_CONFIGURATION_NAME] [key_algorithm=KEY_ALGORITHM] [labels=LABEL,LABEL]

Crie um segredo em um grupo de segredos especificado.

vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets/groups/SECRET_GROUP_ID name=NAME [description="DESCRIPTION"] [username=USERNAME] [password=USERNAME] [payload=DATA] [expiration_date=EXPIRATION] [certificate=CERTIFICATE_DATA] [private_key=PRIVATE_KEY_DATA] [intermediate=INTERMEDIATE_CERTIFICATE_DATA] [ca=CA_CONFIGURATION_NAME] [dns=DNS_CONFIGURATION_NAME] [key_algorithm=KEY_ALGORITHM] [labels=LABEL,LABEL]

Pré-requisitos

É necessária a função de serviço Gravador para criar segredos.

Opções de comando

nome
O alias legível por humanos que você deseja designar ao segredo. Obrigatório.
descrição
Uma descrição estendida a ser designada ao segredo.
expiration_date
A data de expiração que você deseja atribuir ao segredo. Suportado para os tipos secretos arbitrary e username_password. O formato de data segue o RFC 3339.
rótulo
Rótulos que você pode usar para agrupar e procurar segredos semelhantes em sua instância.
carga útil
Os dados que você deseja armazenar para os segredos arbitrary ou kv. Apenas as cargas úteis baseadas em texto são suportadas para segredos arbitrary. O mecanismo de segredos de chave-valor pode armazenar segredos em formato JSON complexo. Com o seu segredo de chave-valor, é possível se integrar a ferramentas compatíveis com os comandos da CLI do HashiCorp Vault KV (Versão 2). Saiba mais sobre o gerenciamento de segredos de chave-valor com a CLI do Vault.
nome do usuário
O nome de usuário que você deseja atribuir a um segredo username_password.
Senha
A senha que você deseja atribuir a um segredo username_password.
Certificado
Os dados do certificado que você deseja armazenar para um segredo imported_cert. O tipo de arquivo suportado é .pem.
private_key
Os dados da chave privada para armazenar de um segredo do imported_cert. O tipo de arquivo suportado é .pem.
intermediário
Dados de certificado intermediário a ser armazenado para um segredo do imported_cert. O tipo de arquivo suportado é .pem.
ca
A configuração da autoridade de certificados a ser usada para solicitar um segredo do public_cert.
dns
A configuração do provedor DNS a ser usada para solicitar um segredo do public_cert.
key_algorithm
O algoritmo principal a ser usado para assinatura e emissão de um segredo do public_cert. Os valores permitidos incluem: RSA2048, RSA4096, ECDSA256, ECDSA384
certificate_template
O modelo de certificado a ser usado para criar um segredo private_cert.
common_name
O nome comum a ser usado para a criação de um segredo private_cert. Dependendo do modelo de certificado que você escolher, algumas restrições sobre o nome comum para o seu certificado privado podem se aplicar.
-formato
Imprime a saída no formato especificado. Os formatos válidos são table, json e yaml. O padrão é table. Também é possível configurar o formato de saída usando a variável de ambiente VAULT_FORMAT.

Exemplos

Crie uma credencial de usuário com uma data de expiração e dois rótulos.

vault write -format=json ibmcloud/username_password/secrets name="my-test-user-credential" expiration_date="2020-12-31T23:59:59Z" username="user123" password="window-steel-dogs-coffee" labels=label-1,label-2

Crie um segredo arbitrário com uma data de expiração e dois rótulos.

vault write -format=json ibmcloud/arbitrary/secrets name="my-test-arbitrary-secret" expiration_date="2020-12-31T23:59:59Z" payload="this is my secret data" labels=label-1,label-2

Crie um segredo arbitrário com carga útil binária.

base64 -w0 <filename> | vault write ibmcloud/arbitrary/secrets name="my-test-arbitrary-secret" payload=- labels="encode:base64"

Importe um certificado SSL/TLS com uma chave privada correspondente.

vault write -format=json ibmcloud/imported_cert/secrets name="my-test-imported-certificate" certificate=@cert.pem private_key=@key.pem

Solicite um certificado SSL/TLS público especificando uma configuração de autoridade de certificação e de provedor DNS.

vault write -format=json ibmcloud/public_cert/secrets name="my-test-public-certificate" ca="my-configured-certificate-authority" dns="my-configured-dns-provider" common_name="example.com" key_algorithm=RSA2048

Crie um certificado SSL/TLS privado especificando o modelo de certificado para usar.

vault write -format=json ibmcloud/private_cert/secrets name="my-test-private-certificate" certificate_template="my-configured-certificate-template" common_name="example.com"

Crie um conjunto de credenciais de serviço especificando o CRN da instância de serviço de origem e o nome da função do serviço IAM.

vault write -format=json ibmcloud/service_credentials/secrets name="test-sc-1" source_crn="crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc::" role="crn:v1:bluemix:public:iam::::serviceRole:Manager"

Saída

O comando para criar um segredo do username_password retorna a saída a seguir:

{
    "request_id": "c8edf459-cc26-d3f9-19e4-a24d899573f4",
    "lease_id": "",
    "lease_duration": 0,
    "renewable": false,
    "data": {
        "created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
    "creation_date": "2020-10-05T21:52:29Z",
    "crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:a6067f1c-98cf-9379-6188-a94a58222f5d",
    "expiration_date": "2020-12-31T23:59:59Z",
    "id": "a6067f1c-98cf-9379-6188-a94a58222f5d",
    "labels": [
        "label-1",
        "label-2"
    ],
    "last_update_date": "2020-10-05T21:52:29Z",
    "name": "my-test-user-credential",
    "secret_data": {
        "password": "window-steel-dogs-coffee",
        "username": "user123"
    },
    "secret_type": "USERNAME_PASSWORD",
    "state": 1,
    "state_description": "Active",
    "versions": [
        {
        "auto_rotated": false,
        "created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
        "creation_date": "2020-10-05T21:52:29Z",
        "id": "f53b8061-359e-3236-5bcc-fb120e170c87"
        }
    ]
    },
    "warnings": null
}

O comando para criar um segredo do arbitrary retorna a saída a seguir:

{
    "request_id": "56f8532d-cd2b-372c-7b14-5a5875d1c6e6",
    "lease_id": "",
    "lease_duration": 0,
    "renewable": false,
    "data": {
        "created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
    "creation_date": "2020-10-05T21:47:27Z",
    "crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:2ca56a3b-a6e8-d2e2-5377-b6559babfac0",
    "expiration_date": "2020-12-31T23:59:59Z",
    "id": "2ca56a3b-a6e8-d2e2-5377-b6559babfac0",
    "labels": [
        "label-1",
        "label-2"
    ],
    "last_update_date": "2020-10-05T21:47:27Z",
    "name": "my-test-arbitrary-secret",
    "secret_data": {
        "payload": "this is my secret data"
    },
    "secret_type": "ARBITRARY",
    "state": 1,
    "state_description": "Active",
    "versions": [
        {
        "created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
        "creation_date": "2020-10-05T21:47:27Z",
        "id": "88473a6c-4877-5079-f999-c9a39e3407ea"
        }
    ]
    },
    "warnings": null
}

O comando para importar um segredo do imported_cert retorna a saída a seguir:

{
    "request_id": "7b41ad30-8098-9f57-62cf-bd757d43238f",
    "lease_id": "",
    "lease_duration": 0,
    "renewable": false,
    "data": {
        "algorithm": "RSA",
    "common_name": "example.com",
    "created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
    "creation_date": "2021-06-03T22:41:56Z",
    "crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:2ca56a3b-a6e8-d2e2-5377-b6559babfac0",
    "expiration_date": "2021-06-04T15:25:44Z",
    "id": "2ca56a3b-a6e8-d2e2-5377-b6559babfac0",
    "intermediate_included": false,
    "issuer": "US Texas Austin Example Corp. Example Org example.com",
    "key_algorithm": "SHA256-RSA",
    "labels": [],
    "last_update_date": "2021-06-03T22:41:56Z",
    "name": "my-test-imported-certificate",
    "private_key_included": false,
    "secret_type": "imported_cert",
    "serial_number": "fc:22:29:7e:57:25:8a:05",
    "state": 1,
    "state_description": "Active",
    "validity": {
        "not_after": "2021-06-04T15:25:44Z",
        "not_before": "2021-06-03T15:25:44Z"
    },
    "versions": [
        {
        "created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
        "creation_date": "2021-06-03T22:41:56.354781389Z",
        "expiration_date": "2021-06-04T15:25:44Z",
        "id": "2fae17bf-106a-1c31-55d9-e642ee3803ae",
        "serial_number": "fc:22:29:7e:57:25:8a:05",
        "validity": {
          "not_after": "2021-06-04T15:25:44Z",
          "not_before": "2021-06-03T15:25:44Z"
        }
        }
    ]
    },
    "warnings": null
}

O comando para solicitar um segredo do public_cert retorna a saída a seguir:

{
    "request_id": "64824dec-c53e-8e49-dbe7-6c44c0dcd7a0",
    "lease_id": "",
    "lease_duration": 0,
    "renewable": false,
    "data": {
        "alt_names": [],
        "common_name": "example.com",
        "created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
        "creation_date": "2021-10-08T03:25:51Z",
        "crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:2ca56a3b-a6e8-d2e2-5377-b6559babfac0",
        "downloaded": false,
        "id": "2c08d55d-1854-4dbd-9c25-bcd26828fe77",
        "issuance_info": {
            "auto_rotated": false,
            "bundle_certs": true,
            "ca": "my-configured-certificate-authority",
            "dns": "my-configured-dns-provider",
            "ordered_on": "2021-10-08T03:25:51Z",
            "state": 0,
            "state_description": "Pre-activation"
        },
        "key_algorithm": "RSA2048",
        "labels": [],
        "last_update_date": "2021-10-08T03:25:51Z",
        "name": "my-test-public-certificate",
        "rotation": {
            "auto_rotate": false,
            "rotate_keys": false
        },
        "secret_type": "public_cert",
        "state": 0,
        "state_description": "Pre-activation",
        "versions": [],
        "versions_total": 1
    },
    "warnings": null
}

O comando para criar um segredo do private_cert retorna a saída a seguir:

{
  "request_id": "7c72b7a6-0342-508a-1684-9625e11555db",
  "lease_id": "",
  "lease_duration": 0,
  "renewable": false,
  "data": {
    "algorithm": "SHA256-RSA",
    "alt_names": [
      "example.com"
    ],
    "certificate_authority": "my-configured-intermediate-ca",
    "certificate_template": "my-configured-template",
    "common_name": "example.com",
    "created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
    "creation_date": "2022-05-03T18:18:43Z",
    "crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:2ca56a3b-a6e8-d2e2-5377-b6559babfac0",
    "downloaded": true,
    "expiration_date": "2022-06-04T18:18:43Z",
    "id": "2c08d55d-1854-4dbd-9c25-bcd26828fe77",
    "issuer": "example.com",
    "key_algorithm": "RSA2048",
    "labels": [],
    "last_update_date": "2022-05-03T18:18:43Z",
    "name": "my-test-private-certificate",
    "rotation": {
      "auto_rotate": false
    },
    "secret_data": {
      "ca_chain": [
        "-----BEGIN CERTIFICATE-----\nMIIGZjCCBU6gAwIBAgIUHTgL...(truncated)"
      ],
      "certificate": "-----BEGIN CERTIFICATE-----\nMIIDJDCCAgygAwIBAgIUarx9...(truncated)",
      "issuing_ca": "-----BEGIN CERTIFICATE-----\nMIIGZjCCBU6gAwIBAgIUHTgLW...(truncated)",
      "private_key": "-----BEGIN RSA PRIVATE KEY-----\nMIIEpAIBAAKCAQEAtirEhptl3...(truncated)"
    },
    "secret_type": "private_cert",
    "serial_number": "6a:bc:7d:63:2a:7c:60:90:00:53:d9:ae:83:b2:1d:bc:97:ae:fb:f1",
    "state": 1,
    "state_description": "Active",
    "validity": {
      "not_after": "2022-06-04T18:18:43Z",
      "not_before": "2022-05-03T18:18:14Z"
    },
    "versions": [
      {
        "auto_rotated": false,
        "created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
        "creation_date": "2022-05-03T18:18:14Z",
        "downloaded": true,
        "expiration_date": "2022-06-04T18:18:43Z",
        "id": "2c08d55d-1854-4dbd-9c25-bcd26828fe77",
        "payload_available": true,
        "serial_number": "6a:bc:7d:63:2a:7c:60:90:00:53:d9:ae:83:b2:1d:bc:97:ae:fb:f1",
        "state": 1,
        "state_description": "Active",
        "validity": {
          "not_after": "2022-06-04T18:18:43Z",
          "not_before": "2022-05-03T18:18:14Z"
        }
      }
    ],
    "versions_total": 1
  },
  "warnings": null
}

O comando para criar um segredo do service-credentials retorna a saída a seguir:

{
  "request_id": "13ee6f56-c91f-180c-8fc1-b4da6ac2817f",
  "lease_id": "",
  "lease_duration": 0,
  "renewable": false,
  "data": {
    "created_by": "IBMid-2700062DAH",
    "creation_date": "2023-11-23T08:27:15Z",
    "crn": "crn:v1:staging:public:secrets-manager:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:e2c32ad4-1414-41e0-8747-e107e6b9f8d6:secret:3c89e3ed-31fb-06f7-387b-c972213c89ee",
    "custom_metadata": {},
    "downloaded": true,
    "iam_apikey_description": "Auto-generated for key crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675bc:resource-key:ada7d881-1af3-484c-8e79-4e071d9e1a7d",
    "iam_apikey_id": "ApiKey-df88649d-5198-4ca5-884f-856a1b83031a",
    "iam_apikey_name": "test-sc-1",
    "iam_role_crn": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
    "iam_serviceid_crn": "crn:v1:staging:public:iam-identity::a/826aa2b9cab6c666477fc55ebc47bafc::serviceid:ServiceId-40052fad-55a4-4090-ab9e-64877964a3bc",
    "id": "3c89e3ed-31fb-06f7-387b-c972213c89be",
    "labels": [],
    "last_update_date": "2023-11-23T08:27:15Z",
    "locks_total": 0,
    "name": "test-sc-1",
    "parameters": {},
    "resource_key_crn": "crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc:resource-key:ada7d881-1af3-484c-8e79-4e071d9e1a7e",
    "resource_key_name": "test-sc-1",
    "role": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
    "secret_data": {
      "apikey": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
      "guid": "f85409e9-1a06-47d5-8320-95ed4e1675bc",
      "iam_apikey_description": "Auto-generated for key crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc:resource-key:ada7d881-1af3-484c-8e79-4e071d9e1a7e",
      "iam_apikey_id": "ApiKey-df88649d-5198-4ca5-884f-856a1b83031a",
      "iam_apikey_name": "test-sc-1",
      "iam_role_crn": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
      "iam_serviceid_crn": "crn:v1:staging:public:iam-identity::a/826aa2b9cab6c666477fc55ebc47bafc::serviceid:ServiceId-40052fad-55a4-4090-ab9e-64877964a3cc",
      "instance_id": "f85409e9-1a06-47d5-8320-95ed4e1675cc",
      "plan": "33b50df2-9cd6-4005-a941-bf0a59f0d183",
      "region": "us-south"
    },
    "secret_type": "service_credentials",
    "source_crn": "crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc::",
    "state": 1,
    "state_description": "Active",
    "ttl": 0,
    "versions": [
      {
        "created_by": "IBMid-3242342DAH",
        "creation_date": "2023-11-23T08:27:15Z",
        "downloaded": true,
        "id": "34f934a3-def7-71e0-cc93-9c754879f2f8",
        "payload_available": true,
        "version_custom_metadata": {}
      }
    ],
    "versions_total": 1
  },
  "warnings": null
}

Listar segredos

Use os comandos a seguir para listar os segredos estáticos em sua instância do Secrets Manager. Os valores permitidos para SECRET_TYPE são: arbitrary, iam_credentials, imported_cert, kv, private_cert, public_cert, service_credentials, custom_credentials, e username_password.

Listar segredos pelo tipo.

vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets

Listar segredos pelo grupo de segredos.

vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets/groups/ID

Pré-requisitos

É necessária a função de serviço Leitor para listar segredos.

Opções de comando

-formato
Imprime a saída no formato especificado. Os formatos válidos são table, json e yaml. O padrão é table. Também é possível configurar o formato de saída usando a variável de ambiente VAULT_FORMAT.

Exemplos

Recupere uma lista de segredos de credencial de usuário disponível no grupo de segredos do default.

vault read -format=json ibmcloud/username_password/secrets

Recupere uma lista de segredos arbitrários designados a um grupo de segredos especificado.

vault read -format=json ibmcloud/arbitrary/secrets/groups/9ab2250f-a369-4e07-ade7-d417d63ad587

Saída

O comando retorna a saída a seguir:

{
    "request_id": "65689e3a-7cc6-990e-4f0e-8480edd244ed",
    "lease_id": "",
    "lease_duration": 0,
    "renewable": false,
    "data": {
        "secrets": [
        {
        "created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
        "creation_date": "2020-10-06T05:31:05Z",
        "crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:1cf95413-4c10-a5fa-e824-b5106375b129",
        "expiration_date": "2020-12-31T23:59:59Z",
        "id": "1cf95413-4c10-a5fa-e824-b5106375b129",
        "labels": [],
        "last_update_date": "2020-10-06T05:31:05Z",
        "name": "my-test-arbitrary-secret",
        "secret_group_id": "9ab2250f-a369-4e07-ade7-d417d63ad587",
        "secret_type": "ARBITRARY",
        "state": 1,
        "state_description": "Active"
        },
        {
        "created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
        "creation_date": "2020-10-06T03:54:26Z",
        "crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:285d83ce-4a26-c5c3-8e58-48d3140a2415",
        "id": "285d83ce-4a26-c5c3-8e58-48d3140a2415",
        "labels": [],
        "last_update_date": "2020-10-06T03:54:26Z",
        "name": "another-test-arbitrary-secret",
        "secret_group_id": "9ab2250f-a369-4e07-ade7-d417d63ad587",
        "secret_type": "ARBITRARY",
        "state": 1,
        "state_description": "Active"
        }
    ],
    "secrets_total": 2
    },
    "warnings": null
}

Se os segredos pertencerem a um grupo de segredos, o valor data.secrets.secret_group_id será incluído na resposta para identificar a designação do grupo de segredos.

Obter um segredo

Use os comandos a seguir para recuperar um segredo e seus detalhes. Os valores permitidos para SECRET_TYPE são: arbitrary, iam_credentials, imported_cert, kv, private_cert, public_cert, service_credentials, custom_credentials, e username_password. O ID do segredo ou o Nome do segredo pode ser usado para recuperar o segredo.

Obter um segredo.

vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets/SECRET_ID_OR_SECRET_NAME

Obtenha um segredo que é atribuído a um grupo de segredo especificado.

vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets/groups/SECRET_GROUP_ID/SECRET_ID_OR_SECRET_NAME

Pré-requisitos

É necessária a função de serviço de SecretsReader ou Gravador para recuperar os segredos.

Opções de comando

-formato
Imprime a saída no formato especificado. Os formatos válidos são table, json e yaml. O padrão é table. Também é possível configurar o formato de saída usando a variável de ambiente VAULT_FORMAT.

Exemplos

Recuperar um segredo arbitrário, incluindo sua carga útil.

Recuperando por ID de segredo

vault read -format=json ibmcloud/arbitrary/secrets/71539dff-9e84-804a-debb-ab3eb3d8afce

Recuperando por Nome do segredo

vault read -format=json ibmcloud/arbitrary/secrets/my-test-arbitrary-secret

Saída

O comando retorna a saída a seguir:

{
    "request_id": "025df8ac-b926-6153-3f5b-cd2364b5f85e",
    "lease_id": "",
    "lease_duration": 0,
    "renewable": false,
    "data": {
        "created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
    "creation_date": "2020-10-20T16:55:41Z",
    "crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:71539dff-9e84-804a-debb-ab3eb3d8afce",
    "id": "71539dff-9e84-804a-debb-ab3eb3d8afce",
    "labels": [],
    "last_update_date": "2020-10-20T16:55:41Z",
    "name": "my-test-arbitrary-secret",
    "secret_data": {
        "payload": "This is the data for my secret."
    },
    "secret_type": "ARBITRARY",
    "state": 1,
    "state_description": "Active",
    "versions": [
        {
        "created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
        "creation_date": "2020-10-20T16:55:41Z",
        "id": "cc2c795e-0072-8074-9824-b6efd5050232"
        }
    ]
    },
    "warnings": null
}

Atualizar um segredo

Use esse comando para atualizar os metadados de um segredo, como o nome ou a descrição dele. Os valores permitidos para SECRET_TYPE são: arbitrary, iam_credentials, imported_cert, kv, private_cert, public_cert, service_credentials, custom_credentials, e username_password.

vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets/SECRET_ID/metadata name=NAME [description="DESCRIPTION"][expiration_date=EXPIRATION] [labels=LABEL,LABEL]

Pré-requisitos

É necessária a função de serviço Gravador para atualizar segredos.

Opções de comando

nome
O alias legível por humanos que você deseja designar ao segredo.
descrição
Uma descrição estendida a ser designada ao segredo.
expiration_date
A data de expiração que você deseja atribuir ao segredo. O formato de data segue o RFC 3339.
rótulo
Rótulos que você pode usar para agrupar e procurar segredos semelhantes em sua instância.
-formato
Imprime a saída no formato especificado. Os formatos válidos são table, json e yaml. O padrão é table. Também é possível configurar o formato de saída usando a variável de ambiente VAULT_FORMAT.

Exemplos

Atualize o nome de um segredo arbitrário.

vault write -format=json ibmcloud/arbitrary/secrets/fe874c2b-e8fd-bbb6-9f19-e91bbe744735/metadata name="updated-name-arbitrary-secret"

Atualize o nome de um segredo de credenciais de serviço

vault write -format=json ibmcloud/service_credentials/secrets/3c89e3ed-31fb-06f7-387b-c972213c89be/metadata name="updated-name-sc-secret"

Saída

O comando arbitrário retorna a seguinte saída:

{
    "request_id": "f361132f-a0e3-eab0-52b8-4d992074b411",
    "lease_id": "",
    "lease_duration": 0,
    "renewable": false,
    "data": {
        "created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
    "creation_date": "2020-10-22T14:26:44Z",
    "crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:fe874c2b-e8fd-bbb6-9f19-e91bbe744735",
    "id": "fe874c2b-e8fd-bbb6-9f19-e91bbe744735",
    "labels": [],
    "last_update_date": "2020-10-22T14:54:25Z",
    "name": "updated-name-arbitrary-secret",
    "secret_type": "ARBITRARY",
    "state": 1,
    "state_description": "Active"
    },
    "warnings": null
}

O comando service credentials retorna a seguinte saída:

{
  {
  "request_id": "62f4f088-0588-51ec-3389-da83b4c34a6a",
  "lease_id": "",
  "lease_duration": 0,
  "renewable": false,
  "data": {
    "created_by": "IBMid-2723462DAH",
    "creation_date": "2023-11-23T08:27:15Z",
    "crn": "crn:v1:staging:public:secrets-manager:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:e2c32ad4-1414-41e0-8747-e107e6b9f8e6:secret:3c89e3ed-31fb-06f7-387b-c972213c89be",
    "custom_metadata": {},
    "downloaded": false,
    "iam_apikey_description": "Auto-generated for key crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc:resource-key:ada7d881-1af3-484c-8e79-4e071d9e1a7e",
    "iam_apikey_id": "ApiKey-df88649d-5198-4ca5-884f-856a1b83031a",
    "iam_apikey_name": "test-sc-1",
    "iam_role_crn": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
    "iam_serviceid_crn": "crn:v1:staging:public:iam-identity::a/826aa2b9cab6c666477fc55ebc47bafc::serviceid:ServiceId-40052fad-55a4-4090-ab9e-64877964a3ac",
    "id": "3c89e3ed-31fb-06f7-387b-c972213c89be",
    "labels": [],
    "last_update_date": "2023-11-23T08:48:20Z",
    "locks_total": 0,
    "name": "updated-name-sc-secret",
    "parameters": {},
    "resource_key_crn": "crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc:resource-key:ada7d881-1af3-484c-8e79-4e071d9e1a7e",
    "resource_key_name": "test-sc-1",
    "role": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
    "secret_type": "service_credentials",
    "source_crn": "crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc::",
    "state": 1,
    "state_description": "Active",
    "ttl": 0,
    "versions_total": 2
  },
  "warnings": null
}

Atualizar uma versão secreta

Use este comando para atualizar uma versão específica de um segredo

vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets/SECRET_ID/versionins/VERSION_ID/metadata
{                                   
        "version_custom_metadata": {              
             "metadata_custom_key": "metadata_custom_value"
        }
}

Exemplos

vault write -format=json ibmcloud/service_credentials/secrets/1a3f9fbc-58d4-ac68-7984-f422d8b8112a/versions/38a361c8-51a2-6fc4-1ed8-d59747db5847/metadata
{                                   
        "version_custom_metadata": {              
             "metadata_custom_key": "metadata_custom_value"
        }
}

{ :pre}

Saída

{
  "request_id": "8a395155-01eb-be57-e73d-53a9bbe09139",
  "lease_id": "",
  "lease_duration": 0,
  "renewable": false,
  "data": {
    "auto_rotated": false,
    "created_by": "IBMid-2723462DAH",
    "creation_date": "2023-11-23T10:19:45Z",
    "crn": "crn:v1:staging:public:secrets-manager:us-south:a/826aa2b9cab6c666477fc55ebc47bafd:e2c32ad4-1414-41e0-8747-e107e6b9f8d7:secret:1a3f9fbc-58d4-ac68-7984-f422d8b8112a",
    "expiration_date": "2023-12-03T10:19:45Z",
    "id": "1a3f9fbc-58d4-ac68-7984-f422d8b8112a",
    "payload_available": true,
    "resource_key_crn": "crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafd:f85409e9-1a06-47d5-8320-95ed4e1675bd:resource-key:496acdc2-792c-4425-8172-32fcd5cddaca",
    "resource_key_name": "test-sc-1",
    "version_custom_metadata": {
      "metadata_custom_key": "metadata_custom_value"
    },
    "version_id": "38a361c8-51a2-6fc4-1ed8-d59747db5847"
  },
  "warnings": null
}

Girar um segredo

Use esse comando para girar um segredo. Os valores permitidos para SECRET_TYPE são: arbitrary, iam_credentials, imported_cert, kv, private_cert, public_cert, service_credentials, custom_credentials, e username_password.

vault write [-format=FORMAT] [-force] ibmcloud/SECRET_TYPE/secrets/SECRET_ID/rotate [payload="SECRET_DATA"] [password=PASSWORD] [certificate=CERTIFICATE_DATA] [private_key=PRIVATE_KEY_DATA] [intermediate=INTERMEDIATE_CERTIFICATE_DATA]

Pré-requisitos

É necessária a função de serviço Gravador para girar segredos.

Opções de comando

carga útil
Os novos dados a serem armazenados para um segredo arbitrary. Apenas as cargas úteis baseadas em texto são suportadas. Caso seja necessário armazenar um arquivo binário, certifique-se de codificá-lo como base64 antes de salvá-lo no Secrets Manager. Para obter mais informações, consulte Exemplos.
Senha
A nova senha a ser designada a um segredo do username_password.
Certificado
Os novos dados do certificado a serem armazenados para um segredo imported_cert. O tipo de arquivo suportado é .pem.
private_key
Os novos dados da chave privada a ser armazenada de um segredo do imported_cert. O tipo de arquivo suportado é .pem.
intermediário
Os novos dados do certificado intermediário a ser armazenado de um segredo imported_cert. O tipo de arquivo suportado é .pem.
-formato
Imprime a saída no formato especificado. Os formatos válidos são table, json e yaml. O padrão é table. Também é possível configurar o formato de saída usando a variável de ambiente VAULT_FORMAT.
-force
Substitui a senha que é armazenada para um segredo do username_password com uma senha gerada aleatoriamente, com 32 caracteres que contém letras maiúsculas, letras minúsculas, dígitos e símbolos.

Exemplos

Gire manualmente os dados do segredo armazenados para um segredo arbitrário.

vault write -format=json ibmcloud/arbitrary/secrets/fe874c2b-e8fd-bbb6-9f19-e91bbe744735/rotate payload="Updated secret data."

Gire manualmente a senha que é armazenada para um segredo do username_password.

vault write -format=json ibmcloud/username_password/secrets/cb32abc1-2a4b-e0fd-f403-233e5249e130/rotate password="my-updated-password"

Substitua a senha que é armazenada para um segredo do username_password por uma senha de 32 caracteres gerada aleatoriamente.

vault write -format=json -force ibmcloud/username_password/secrets/cb32abc1-2a4b-e0fd-f403-233e5249e130/rotate

Gire um conjunto de credenciais de serviço.

vault write -format=json -force ibmcloud/service_credentials/secrets/3c89e3ed-31fb-06f7-387b-c972213c89be/rotate

Saída

O comando para girar manualmente um segredo do username_password com uma senha fornecida pelo usuário retorna a saída a seguir:

{
    "request_id": "9cb258e5-fbc9-7a37-f8c9-c5ab1dd7b823",
    "lease_id": "",
    "lease_duration": 0,
    "renewable": false,
    "data": {
        "created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
    "creation_date": "2020-10-22T15:09:19Z",
    "crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:cb32abc1-2a4b-e0fd-f403-233e5249e130",
    "id": "cb32abc1-2a4b-e0fd-f403-233e5249e130",
    "labels": [],
    "last_update_date": "2020-10-22T15:10:34Z",
    "name": "new-username-password",
    "secret_data": {
        "password": "my-updated-password",
        "username": "my-username"
    },
    "secret_type": "USERNAME_PASSWORD",
    "state": 1,
    "state_description": "Active"
    },
    "warnings": null
}

O comando para girar manualmente um segredo do username_password com uma senha gerada pelo serviço retorna a saída a seguir:

{
    "request_id": "67992946-3fd7-8cbe-9464-f5bc0cc8254e",
    "lease_id": "",
    "lease_duration": 0,
    "renewable": false,
    "data": {
        "created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
    "creation_date": "2020-10-22T15:09:19Z",
    "crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:cb32abc1-2a4b-e0fd-f403-233e5249e130",
    "id": "cb32abc1-2a4b-e0fd-f403-233e5249e130",
    "labels": [],
    "last_update_date": "2020-10-22T16:25:55Z",
    "name": "new-username-password",
    "secret_data": {
        "password": "TYRodi/HX7s095UpQ38)L1z(t4\u003ccG6!2",
        "username": "my-username"
    },
    "secret_type": "USERNAME_PASSWORD",
    "state": 1,
    "state_description": "Active"
    },
    "warnings": null
}

O comando para girar manualmente um conjunto de credenciais de serviço retorna a saída a seguir:

{
  "request_id": "6adeab90-93a3-79eb-24eb-ae6f1c6856dc",
  "lease_id": "",
  "lease_duration": 0,
  "renewable": false,
  "data": {
    "created_by": "IBMid-2734562DAH",
    "creation_date": "2023-11-23T08:27:15Z",
    "crn": "crn:v1:staging:public:secrets-manager:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:e2c32ad4-1414-41e0-8747-e107e6b9f8d6:secret:3c89e3ed-31fb-06f7-387b-c972213c89ee",
    "custom_metadata": {},
    "downloaded": false,
    "iam_apikey_description": "Auto-generated for key crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc:resource-key:ada7d881-1af3-484c-8e79-4e071d9e1a7e",
    "iam_apikey_id": "ApiKey-df88649d-5198-4ca5-884f-856a1b83031a",
    "iam_apikey_name": "test-sc-1",
    "iam_role_crn": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
    "iam_serviceid_crn": "crn:v1:staging:public:iam-identity::a/826aa2b9cab6c666477fc55ebc47bacc::serviceid:ServiceId-40052fad-55a4-4090-ab9e-64877964a3ac",
    "id": "3c89e3ed-31fb-06f7-387b-c972213c89be",
    "labels": [],
    "last_update_date": "2023-11-23T08:48:20Z",
    "locks_total": 0,
    "name": "test-sc-1",
    "parameters": {},
    "resource_key_crn": "crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc:resource-key:ada7d881-1af3-484c-8e79-4e071d9e1a7e",
    "resource_key_name": "test-sc-1",
    "role": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
    "secret_data": {
      "apikey": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
      "guid": "f85409e9-1a06-47d5-8320-95ed4e1675bc",
      "iam_apikey_description": "Auto-generated for key crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc:resource-key:48d0d690-7095-4e91-b267-bb8f4e7cc1e7",
      "iam_apikey_id": "ApiKey-7a2311a5-d071-4d4f-b511-f1182e5e9849",
      "iam_apikey_name": "test-sc-1",
      "iam_serviceid_crn": "crn:v1:staging:public:iam-identity::a/826aa2b9cab6c666477fc55ebc47bacc::serviceid:ServiceId-40052fad-55a4-4090-ab9e-64877964a3ac",
      "instance_id": "f85409e9-1a06-47d5-8320-95ed4e1675cc",
      "plan": "33b50df2-9cd6-4005-a941-bf0a59f0d133",
      "region": "us-south"
    },
    "secret_type": "service_credentials",
    "source_crn": "crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc::",
    "state": 1,
    "state_description": "Active",
    "ttl": 0,
    "versions": [
      {
        "created_by": "IBMid-2723462DAH",
        "creation_date": "2023-11-23T08:27:15Z",
        "downloaded": true,
        "id": "34f934a3-def7-71e0-cc93-9c754879f2f8",
        "payload_available": true,
        "version_custom_metadata": {}
      },
      {
        "created_by": "IBMid-2723462DAH",
        "creation_date": "2023-11-23T08:48:20Z",
        "downloaded": false,
        "id": "1449cd40-dd18-5f68-7719-7a08a9f8e57d",
        "payload_available": true,
        "version_custom_metadata": {}
      }
    ],
    "versions_total": 2
  },
  "warnings": null
}

Excluir um segredo

Use esse comando para excluir um segredo. Os valores permitidos para SECRET_TYPE são: arbitrary, iam_credentials, imported_cert, kv, private_cert, public_cert, service_credentials, custom_credentials, e username_password.

Excluir um segredo no grupo de segredos default.

vault delete ibmcloud/SECRET_TYPE/secrets/SECRET_ID

Exclua um segredo em um grupo de segredos existente.

vault delete ibmcloud/SECRET_TYPE/secrets/groups/SECRET_GROUP_ID/SECRET_ID

Pré-requisitos

É necessária a função de serviço Gerenciador para excluir segredos.

Opções de comando

-formato
Imprime a saída no formato especificado. Os formatos válidos são table, json e yaml. O padrão é table. Também é possível configurar o formato de saída usando a variável de ambiente VAULT_FORMAT.

Exemplos

Exclua um segredo arbitrário pelo ID designado dele.

vault delete ibmcloud/arbitrary/secrets/d26702aa-77ae-400e-4f25-9790a9cabf9c

Saída

O comando retorna a saída a seguir:

Success! Data deleted (if it existed) at: ibmcloud/arbitrary/secrets/d26702aa-77ae-400e-4f25-9790a9cabf9c

Segredos dinâmicos

Os segredos dinâmicos são credenciais de uso único geradas apenas ao serem lidas ou acessadas.

Para criar um segredo dinâmico usando a CLI do Vault, use o comando role para definir o escopo do segredo com o nível de permissões desejado em sua conta do IBM Cloud. Em seguida, use o comando creds para gerar credenciais para a função.

Criar uma função

Use os comandos a seguir para registrar uma função para um mecanismo de segredos que suporta segredos dinâmicos. Depois de criar uma função, é possível gerar credenciais para ela. A configuração definida para a função, como o nome dela, a duração de lease e as permissões de acesso, é herdada pelas credenciais geradas.

Criar uma função no grupo de segredos do default.

vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/roles/ROLE_NAME access_groups=ACCESS_GROUP_ID,ACCESS_GROUP_ID ttl=LEASE_DURATION [description="DESCRIPTION"] [labels=LABEL,LABEL]

Crie uma função em um grupo de segredos especificado.

vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/roles/groups/SECRET_GROUP_ID/ROLE_NAME access_groups=ACCESS_GROUP_ID,ACCESS_GROUP_ID ttl=LEASE_DURATION [description="DESCRIPTION"] [labels=LABEL,LABEL]

Pré-requisitos

É necessária a função de serviço Gravador para criar segredos.

Opções de comando

SECRET_TYPE
O tipo de segredo que você deseja criar. Atualmente, iam_credentials é suportado.
SECRET_GROUP_ID
O ID do grupo de segredos que você deseja designar à função e às credenciais dela.
ROLE_NAME
O alias legível por humanos que você deseja designar à função e às credenciais dela.
access_groups
O ID do grupo de acesso que determina o escopo de acesso a ser designado à função e às credenciais dela.
ttl
O TTL (time-to-live) que determina por quanto tempo as credenciais geradas por uma função podem existir. Use uma sequência de caracteres de duração como 300s ou 1h30m. As unidades de tempo válidas são s, m e h.
descrição
Uma descrição estendida a ser designada para a função e suas credenciais.
rótulo
Rótulos que você pode usar para agrupar e procurar segredos semelhantes em sua instância.
-formato
Imprime a saída no formato especificado. Os formatos válidos são table, json e yaml. O padrão é table. Também é possível configurar o formato de saída usando a variável de ambiente VAULT_FORMAT.

Exemplos

Configure uma credencial do IAM com duração de lease de 1 hora e designe-a ao grupo de segredos default.

vault write -format=json ibmcloud/iam_credentials/roles/test-iam-credentials access_groups=AccessGroupId-985dc0a3-857b-48bd-b6d6-33819da7ba42 ttl=1h description="My test IAM credential." labels=test,us-south

Configure uma credencial do IAM com uma duração de lease de uma hora e designe-a a um grupo de segredos especificado.

vault write -format=json ibmcloud/iam_credentials/roles/groups/9ab2250f-a369-4e07-ade7-d417d63ad587/test-iam-credential-in-group access_groups=AccessGroupId-985dc0a3-857b-48bd-b6d6-33819da7ba42 ttl=1h description="My test IAM credential that is assigned to a secret group." labels=test,us-south

Saída

O comando retorna a saída a seguir:

{
    "request_id": "d4150a28-1184-8864-dcd3-15b0d18da7c1",
    "lease_id": "",
    "lease_duration": 0,
    "renewable": false,
    "data": {
        "access_groups": [
        "AccessGroupId-985dc0a3-857b-48bd-b6d6-33819da7ba42"
    ],
    "created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
    "creation_date": "2020-10-09T17:13:47Z",
    "crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e::",
    "description": "My test IAM credential that is assigned to a secret group.",
    "id": "091ca93f-5c99-4078-9d7e-4801143030fd",
    "labels": [
        "test",
        "us-south"
    ],
    "last_update_date": "2020-10-09T17:13:47Z",
    "name": "test-iam-credential-in-group",
    "secret_group_id": "9ab2250f-a369-4e07-ade7-d417d63ad587",
    "secret_type": "IAM_CREDENTIALS",
    "state": 1,
    "state_description": "Active",
    "ttl": 3600
    },
    "warnings": null
}

Se a função for criada em um grupo de segredos, o valor data.secret_group_id será incluído na resposta para identificar a designação do grupo de segredos.

Gerar credenciais do IAM

Use os comandos a seguir para gerar uma chave de API para uma função. Esse comando cria um ID de serviço e o inclui no grupo de acesso configurado para a função e, em seguida, gera uma chave de API para o ID de serviço.

Gere uma chave de API para uma função no grupo de segredos do default.

vault read [-format=FORMAT] ibmcloud/iam_credentials/creds/ROLE_ID

Gere uma chave de API para uma função em um grupo de segredos especificado.

vault read [-format=FORMAT] ibmcloud/iam_credentials/creds/groups/SECRET_GROUP_ID/ROLE_ID

As chaves de API geradas são renováveis e têm um tempo de vida (TTL) conforme definido pela função ou o padrão do sistema.

Pré-requisitos

É necessária a função de serviço Gravador para criar segredos.

Opções de comando

SECRET_GROUP_ID
O ID do grupo de segredos que você deseja designar a este segredo.
ROLE_ID
O ID ou o nome designado à função deste segredo.
-formato
Imprime a saída no formato especificado. Os formatos válidos são table, json e yaml. O padrão é table. Também é possível configurar o formato de saída usando a variável de ambiente VAULT_FORMAT.

Exemplos

Gere uma credencial do IAM para um segredo que está designado ao grupo de segredos do default.

vault read -format=json ibmcloud/iam_credentials/creds/test-iam-credentials

Gere uma credencial do IAM para um segredo que seja designada a um grupo de segredos especificado.

vault read -format=json ibmcloud/iam_credentials/creds/groups/9ab2250f-a369-4e07-ade7-d417d63ad587/test-iam-credential-in-group

Saída

O comando retorna a saída a seguir:

{
    "request_id": "48d14d52-ce92-6efc-aeaa-b49cc11eabd6",
    "lease_id": "",
    "lease_duration": 0,
    "renewable": false,
    "data": {
        "access_groups": [
        "AccessGroupId-985dc0a3-857b-48bd-b6d6-33819da7ba42"
    ],
    "api_key": "Cg7l3kJveurEry_P7_fLPIBR....(truncated)",
    "created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
    "creation_date": "2020-10-09T17:13:47Z",
    "crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e::",
    "description": "My test IAM credential that is assigned to a secret group.",
    "id": "091ca93f-5c99-4078-9d7e-4801143030fd",
    "labels": [
        "test",
        "us-south"
    ],
    "last_update_date": "2020-10-09T17:53:23Z",
    "name": "test-iam-credential-in-group",
    "secret_group_id": "9ab2250f-a369-4e07-ade7-d417d63ad587",
    "secret_type": "IAM_CREDENTIALS",
    "service_id": "ServiceId-ae06783c-0ab4-4b02-a78a-8dff7d0634c6",
    "state": 1,
    "state_description": "Active",
    "ttl": 3600
    },
    "warnings": null
}

Se a função pertencer a um grupo de segredos, o valor data.secret_group_id será incluído na resposta para identificar a designação do grupo de segredos.

Listar funções

Use os comandos a seguir para listar as funções ou segredos em sua instância do Secrets Manager.

Listar funções pelo tipo.

vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/roles

Listar funções pelo ID do grupo de segredos.

vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/roles/groups/SECRET_GROUP_ID

Pré-requisitos

É necessária a função de serviço Leitor para listar segredos.

Opções de comando

SECRET_TYPE
O tipo de segredo que você deseja listar. Atualmente, iam_credentials é suportado.
SECRET_GROUP_ID
O ID do grupo de segredos.
-formato
Imprime a saída no formato especificado. Os formatos válidos são table, json e yaml. O padrão é table. Também é possível configurar o formato de saída usando a variável de ambiente VAULT_FORMAT.

Exemplos

Recuperar uma lista de credenciais do IAM.

vault read -format=json ibmcloud/iam_credentials/roles

Recupere uma lista de credenciais do IAM que pertença a um grupo de segredos especificado.

vault read -format=json ibmcloud/iam_credentials/roles/groups/9ab2250f-a369-4e07-ade7-d417d63ad587

Saída

O comando retorna a saída a seguir:

{
    "request_id": "d567207f-b5e6-fc35-086e-fbc465bf3678",
    "lease_id": "",
    "lease_duration": 0,
    "renewable": false,
    "data": {
        "roles": [
        {
        "created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
        "creation_date": "2020-10-09T17:13:47Z",
        "crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e::",
        "description": "My test IAM credential that is assigned to a secret group.",
        "id": "091ca93f-5c99-4078-9d7e-4801143030fd",
        "labels": [
          "test",
          "us-south"
        ],
        "last_update_date": "2020-10-09T17:13:47Z",
        "name": "test-iam-credential-in-group",
        "secret_group_id": "9ab2250f-a369-4e07-ade7-d417d63ad587",
        "secret_type": "IAM_CREDENTIALS",
        "state": 1,
        "state_description": "Active",
        "ttl": 3600
        },
        {
        "created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
        "creation_date": "2020-10-09T17:05:21Z",
        "crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:a810998d-2912-4865-b4da-8dcc7465d784",
        "description": "My test IAM credential.",
        "id": "a810998d-2912-4865-b4da-8dcc7465d784",
        "labels": [
          "test",
          "us-south"
        ],
        "last_update_date": "2020-10-09T17:05:21Z",
        "name": "test-iam-credentials",
        "secret_type": "IAM_CREDENTIALS",
        "state": 1,
        "state_description": "Active",
        "ttl": 3600
        }
    ],
    "roles_total": 2
    },
    "warnings": null
}

Se a função pertencer a um grupo de segredos, o valor roles.data.secret_group_id será incluído na resposta para identificar a designação do grupo de segredos.

Ler os metadados de uma função

Use os comandos a seguir para visualizar detalhes sobre uma função ou um segredo registrado, como o nome e o histórico deles.

Exibir os detalhes de uma função.

vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/roles/ROLE_ID/metadata

Visualize os detalhes de uma função que é atribuída a um grupo de segredo.

vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/roles/groups/GROUP_ID/ROLE/metadata

Pré-requisitos

É necessária a função de serviço Leitor para visualizar os metadados de um segredo.

Opções de comando

SECRET_TYPE
O tipo de segredo que você deseja visualizar. Atualmente, iam_credentials é suportado.
SECRET_GROUP_ID
O ID do grupo de segredos designado à função e às credenciais dela
ROLE_ID
O ID designado à função deste segredo.
-formato
Imprime a saída no formato especificado. Os formatos válidos são table, json e yaml. O padrão é table. Também é possível configurar o formato de saída usando a variável de ambiente VAULT_FORMAT.

Exemplos

Visualize os detalhes de uma função que é atribuída a um grupo de segredo.

vault read -format=json ibmcloud/iam_credentials/roles/groups/9ab2250f-a369-4e07-ade7-d417d63ad587/091ca93f-5c99-4078-9d7e-4801143030fd/metadata

Saída

O comando retorna a saída a seguir:

{
    "request_id": "cb4672e2-51d9-3a83-f8a2-717afe16e24a",
    "lease_id": "",
    "lease_duration": 0,
    "renewable": false,
    "data": {
        "access_groups": [
        "AccessGroupId-985dc0a3-857b-48bd-b6d6-33819da7ba42"
    ],
    "created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
    "creation_date": "2020-10-09T17:13:47Z",
    "crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e::",
    "description": "My test IAM credential that is assigned to a secret group.",
    "id": "091ca93f-5c99-4078-9d7e-4801143030fd",
    "labels": [
        "test",
        "us-south"
    ],
    "last_update_date": "2020-10-09T17:13:47Z",
    "name": "test-iam-credential-in-group",
    "secret_group_id": "9ab2250f-a369-4e07-ade7-d417d63ad587",
    "secret_type": "IAM_CREDENTIALS",
    "state": 1,
    "state_description": "Active",
    "ttl": 3600
    },
    "warnings": null
}

Atualizar os metadados de uma função

Use os comandos a seguir para visualizar detalhes sobre uma função ou um segredo registrado, como o nome e o histórico deles.

Atualize os detalhes de uma função no grupo de segredos do default.

vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/roles/ROLE_ID/metadata [name="ROLE_NAME"] [access_groups=ACCESS_GROUP_ID,ACCESS_GROUP_ID] [ttl=LEASE_DURATION] [description="DESCRIPTION"] [labels=LABEL,LABEL]

Atualize os detalhes de uma função que é atribuída a um grupo secreto.

vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/roles/groups/SECRET_GROUP_ID/ROLE_ID/metadata [name="ROLE_NAME"] [access_groups=ACCESS_GROUP_ID,ACCESS_GROUP_ID] [ttl=LEASE_DURATION] [description="DESCRIPTION"] [labels=LABEL,LABEL]

Pré-requisitos

É necessária a função de serviço Gravador para atualizar os metadados de um segredo.

Opções de comando

SECRET_TYPE
O tipo de segredo que você deseja atualizar. Atualmente, iam_credentials é suportado.
SECRET_GROUP_ID
O ID do grupo de segredos designado à função e às credenciais dela.
ROLE_ID
O ID designado a este segredo.
access_groups
O ID do grupo de acesso que determina o escopo de acesso a ser designado à função e às credenciais dela.
ttl
O tempo de vida (TTL) que determina por quanto tempo as credenciais geradas de uma função podem existir. Use uma sequência de caracteres de duração como 300s ou 1h30m. As unidades de tempo válidas são s, m e h.
nome
O novo nome que você deseja atribuir para este segredo.
descrição
Uma descrição estendida a ser designada para a função e suas credenciais.
rótulo
Rótulos que você pode usar para agrupar e procurar segredos semelhantes em sua instância.
-formato
Imprime a saída no formato especificado. Os formatos válidos são table, json e yaml. O padrão é table. Também é possível configurar o formato de saída usando a variável de ambiente VAULT_FORMAT.

Exemplos

Atualize os detalhes de uma função que é designada para o grupo do default.

vault write -format=json ibmcloud/iam_credentials/roles/091ca93f-5c99-4078-9d7e-4801143030fd/metadata name="new-credential-name"

Saída

O comando retorna a saída a seguir:

{
    "request_id": "cb4672e2-51d9-3a83-f8a2-717afe16e24a",
    "lease_id": "",
    "lease_duration": 0,
    "renewable": false,
    "data": {
        "access_groups": [
        "AccessGroupId-985dc0a3-857b-48bd-b6d6-33819da7ba42"
    ],
    "created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
    "creation_date": "2020-10-09T17:13:47Z",
    "crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e::",
    "description": "My test IAM credential.",
    "id": "091ca93f-5c99-4078-9d7e-4801143030fd",
    "labels": [
        "test",
        "us-south"
    ],
    "last_update_date": "2020-10-09T17:13:47Z",
    "name": "new-credential-name",
    "secret_type": "IAM_CREDENTIALS",
    "state": 1,
    "state_description": "Active",
    "ttl": 3600
    },
    "warnings": null
}

Excluir uma função

Use os seguintes comandos para excluir uma função.

Excluir uma função no grupo de segredos do default.

vault delete ibmcloud/SECRET_TYPE/roles/ROLE_ID

Excluir uma função para um grupo de segredo.

vault delete ibmcloud/SECRET_TYPE/roles/groups/SECRET_GROUP_ID/ROLE_ID

Pré-requisitos

É necessária a função de serviço Gravador para atualizar os metadados de um segredo.

Opções de comando

SECRET_TYPE
O tipo de segredo que você deseja excluir. Atualmente, iam_credentials é suportado.
SECRET_GROUP_ID
O ID do grupo de segredos designado à função e às credenciais dela.
ROLE_ID
O ID designado a este segredo.

Exemplos

Exclua uma função que é designada para o grupo do default.

vault delete ibmcloud/iam_credentials/roles/091ca93f-5c99-4078-9d7e-4801143030fd

Saída

O comando retorna a saída a seguir:

Success! Data deleted (if it existed) at: ibmcloud/iam_credentials/roles/091ca93f-5c99-4078-9d7e-4801143030fd

Bloqueios

Bloquear um segredo

Use os seguintes comandos para criar um ou mais bloqueios na versão atual de um segredo.

Crie um bloqueio em um segredo no grupo secreto padrão.

vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/SECRET_ID/lock @FILE

Crie um bloqueio em um segredo em um grupo secreto personalizado.

vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/groups/SECRET_GROUP_ID/SECRET_ID/lock @FILE

Tranque um segredo exclusivamente.

vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/groups/SECRET_GROUP_ID/SECRET_ID/lock_exclusive @FILE

Bloqueie um segredo exclusivamente e exclua dados da versão anterior.

vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/groups/SECRET_GROUP_ID/SECRET_ID/lock_exclusive_delete @FILE

Pré-requisitos

Você precisa da função de serviço Writer ou superior para criar bloqueios secretos.

Opções de comando

SECRET_TYPE
O tipo de segredo que você deseja bloquear.
SECRET_GROUP_ID
O ID do grupo de segredos.
FILE
O arquivo JSON que contém os detalhes do bloqueio.
nome
O alias legível por humanos que você deseja designar ao grupo de segredos. Obrigatório.
descrição
Uma descrição estendida do grupo de segredo.
-formato
Imprime a saída no formato especificado. Os formatos válidos são table, json e yaml. O padrão é table. Também é possível configurar o formato de saída usando a variável de ambiente VAULT_FORMAT.

Exemplos

Crie um bloqueio em um segredo no grupo secreto padrão.

vault write -format=json ibmcloud/arbitrary/locks/fe874c2b-e8fd-bbb6-9f19-e91bbe744735/lock @locks.json

Crie um bloqueio em um segredo em um grupo secreto personalizado.

vault write -format=json ibmcloud/arbitrary/locks/groups/bb6-9f19-e91bbe744735/fe874c2b-e8fd-bbb6-9f19/lock @locks.json

Você pode formatar o arquivo JSON que contém os detalhes do bloqueio secreto com base no exemplo a seguir.

{
  "locks": [
    {
      "name": "lockX",
      "description": "blabla",
      "attributes": {"key": "value"}
    },
    {
      "name": "lockY",
      "description": "blabla",
      "attributes": {"key": "value"}
    }
  ]
}

Saída

O comando para criar um bloqueio em um segredo no grupo padrão retorna a saída a seguir:

{
  "request_id": "df85bbe9-4a0a04-06b123",
  "lease_id": "",
  "lease_duration": 0,
  "renewable": false,
  "data": {
    "secret_group_id": "default",
    "secret_id": "65e44d42-cf24f4-490fa9",
    "versions": [
      {
        "alias": "current",
        "id": "6df7edfe-e5f-0b66c-aaba832",
        "locks": [
          "lock4",
          "lock5"
        ],
        "payload_available": true
      }
    ]
  },
  "warnings": null
}

Listar bloqueios secretos

Use os seguintes comandos para listar os bloqueios que estão associados com a versão atual de um segredo.

Liste os bloqueios em um segredo que está no grupo secreto padrão.

vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/SECRET_ID
vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/groups/SECRET_GROUP_ID/SECRET_ID

Pré-requisitos

Você precisa da função de serviço Reader ou superior para listar bloqueios secretos.

Opções de comando

-formato
Imprime a saída no formato especificado. Os formatos válidos são table, json e yaml. O padrão é table. Também é possível configurar o formato de saída usando a variável de ambiente VAULT_FORMAT.

Exemplos

Liste os bloqueios que estão associados a um segredo arbitrário no grupo secreto padrão.

vault read -format=json ibmcloud/arbitrary/locks/184408d6-8264-5ff3-c308-6922ed04ad88

Liste os bloqueios que estão associados a um segredo de credenciais de um usuário em um grupo secreto personalizado.

vault read -format=json ibmcloud/username_password/locks/groups/d2e98a96-18ed-f13c-8dee-db955fb94122/c86946e6-b392-2613-159d-aff5a3f095b3

Saída

O comando retorna a saída a seguir:

{
  "request_id": "7a09ca14-6a7d-9ea2-2515-f7c22890f148",
  "lease_id": "",
  "lease_duration": 0,
  "renewable": false,
  "data": {
    "locks": [
      {
        "attributes": {
          "key": "value"
        },
        "created_by": "iam-ServiceId-222b47ab-b08e-42c3acb8",
        "creation_date": "2022-06-30T21:04:15.143896Z",
        "description": "Test lock for secret in the custom secret group.",
        "last_update_date": "2022-06-30T21:31:19.343086Z",
        "name": "lock-for-app-1",
        "secret_group_id": "d2e98a96-18ed-fb22",
        "secret_id": "c86946e6-b392-2613-15095b3",
        "secret_version_alias": "current",
        "secret_version_id": "ad6aa6d9-b43c-4bc3-52e64"
      }
    ],
    "locks_total": 1
  },
  "warnings": null
}

Desbloquear um segredo

Use os seguintes comandos para remover um ou mais bloqueios na versão atual de um segredo.

Remover bloqueios em um segredo no grupo secreto padrão.

vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/SECRET_ID/unlock locks=LOCK_NAME locks=LOCK_NAME

Remover bloqueios em um segredo em um grupo secreto personalizado.

vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/groups/SECRET_GROUP_ID/SECRET_ID/unlock locks=LOCK_NAME locks=LOCK_NAME

Pré-requisitos

Você precisa da função de serviço Writer ou superior para criar bloqueios secretos.

Opções de comando

-formato
Imprime a saída no formato especificado. Os formatos válidos são table, json e yaml. O padrão é table. Também é possível configurar o formato de saída usando a variável de ambiente VAULT_FORMAT.

Exemplos

Remover bloqueios em um segredo no grupo secreto padrão.

vault write -format=json ibmcloud/username_password/locks/65e44d42-cfb6-a24f4490fa9/unlock locks=test-lock-1 locks=test-lock-2

Remover bloqueios em um segredo em um grupo secreto personalizado.

vault write -format=json ibmcloud/arbitrary/locks/groups/7a09ca14-6a7d-9ea2-2515-f7c22890f148/9ea2-2515-f7c22890f148/unlock locks=test-lock-1 locks=test-lock-2

Saída

O comando retorna a saída a seguir:

{
  "request_id": "0ec52cf2-59867-184a9c977",
  "lease_id": "",
  "lease_duration": 0,
  "renewable": false,
  "data": {
    "secret_group_id": "default",
    "secret_id": "65e44d42-cfb6-abe2-637d-2824f4490fa9",
    "versions": [
      {
        "alias": "current",
        "id": "6df7edfe-ea85-3d34-565f-0b66caaba832",
        "locks": [],
        "payload_available": true
      }
    ]
  },
  "warnings": null
}