Comandos da CLI do Vault
É possível usar a interface da linha de comandos (CLI) do HashiCorp Vault para interagir com o IBM Cloud® Secrets Manager.
Secrets Manager usa o HashiCorp Vault com suporte adicional para o método IBM Cloud IAM auth
e um conjunto de mecanismos secretos para dar suporte a operações em Secrets Manager para vários tipos de segredo.
Antes de começar, configure a CLI do Vault para que você possa acessar sua instância do Secrets Manager usando os comandos do Vault. Para saber mais sobre como usar a CLI do Vault, consulte a documentação do Vault.
Efetuar login
Configurar um token de login
Use esse comando para configurar os tempos de vida (TTL e MaxTTL) de um token de login do Vault.
vault write auth/ibmcloud/manage/login [token_ttl=DURATION] [token_max_ttl=MAX_DURATION]
Pré-requisitos
É necessária a função de serviço Gerenciador para gerenciar a configuração de tokens de login.
Opções de comando
- token_ttl
- O tempo de vida (TTL) inicial do token de login a ser gerado. O padrão é
1h
. - token_max_ttl
- O tempo máximo de vida do token de login. O padrão é
24h
. Este valor não pode exceder o valorMaxLeaseTTL
do Vault.
Exemplos
Configure um token de login do Vault inserindo 30m
para o tempo de vida inicia e 2h
para o tempo de vida máximo.
vault write auth/ibmcloud/manage/login token_ttl=30m token_max_ttl=2h
Saída
O comando retorna a saída a seguir:
Success! Data written to: auth/ibmcloud/manage/login
Visualizar a configuração de um token
Use esse comando para visualizar a configuração de um token de login do Vault.
vault read [-format=FORMAT] auth/ibmcloud/manage/login
Pré-requisitos
É necessária a função de serviço Gerenciador para gerenciar a configuração de tokens de login.
Opções de comando
- -formato
- Imprime a saída no formato especificado. Os formatos válidos são
table
,json
eyaml
. O padrão étable
. Também é possível configurar o formato de saída usando a variável de ambienteVAULT_FORMAT
.
Exemplos
Visualize a configuração de login de um token do Vault no formato JSON.
vault read -format=json auth/ibmcloud/manage/login
Saída
O comando retorna a saída a seguir:
{
"request_id": "4dec6b8a-a277-0755-617c-97e40bcc7c3e",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"login": {
"token_max_ttl": "2h0m0s",
"token_ttl": "30m0s"
}
},
"warnings": null
}
Grupos de segredos
Criar um grupo de segredos
Use esse comando para criar um grupo de segredos.
vault write [-format=FORMAT] auth/ibmcloud/manage/groups name=NAME [description="DESCRIPTION"]
Pré-requisitos
É necessária a função de serviço Gerenciador para criar grupos de segredos.
Opções de comando
- nome
- O alias legível por humanos que você deseja designar ao grupo de segredos. Obrigatório.
- descrição
- Uma descrição estendida do grupo de segredo.
- -formato
- Imprime a saída no formato especificado. Os formatos válidos são
table
,json
eyaml
. O padrão étable
. Também é possível configurar o formato de saída usando a variável de ambienteVAULT_FORMAT
.
Exemplos
Crie um grupo de segredos com um nome e uma descrição.
vault write auth/ibmcloud/manage/groups name="my-secret-group" description="A group of secrets."
Saída
O comando retorna a saída a seguir:
Key Value
--- -----
created_at 2020-10-05T17:43:49Z
description A group of secrets.
id 9c6d20ad-779e-27c5-3842-2a20b19abfcf
name my-secret-group
type application/vnd.ibm.secrets-manager.secret.group+json
updated_at n/a
Listar grupos de segredos
Use este comando para listar os grupos de segredos que estão disponíveis na sua instância do Secrets Manager.
vault read [-format=FORMAT] auth/ibmcloud/manage/groups
Pré-requisitos
É necessária a função de serviço Leitor para listar grupos de segredos.
Opções de comando
- -formato
- Imprime a saída no formato especificado. Os formatos válidos são
table
,json
eyaml
. O padrão étable
. Também é possível configurar o formato de saída usando a variável de ambienteVAULT_FORMAT
.
Exemplos
Recupere uma lista de grupos de segredos no formato JSON.
vault read -format=json auth/ibmcloud/manage/groups
Saída
O comando retorna a saída a seguir:
{
"request_id": "62051bde-9703-101c-a328-90a377a8bb77",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"groups": [
{
"created_at": "2020-10-05T17:43:49Z",
"description": "A group of secrets.",
"id": "9c6d20ad-779e-27c5-3842-2a20b19abfcf",
"name": "my-secret-group",
"type": "application/vnd.ibm.secrets-manager.secret.group+json",
"updated_at": ""
}
]
},
"warnings": null
}
Obter um grupo de segredos
Use esse comando para obter os detalhes de um grupo de segredos.
vault read [-format=FORMAT] auth/ibmcloud/manage/groups/SECRET_GROUP_ID
Pré-requisitos
É necessária a função de serviço Leitor para obter os detalhes de um grupo de segredos.
Opções de comando
- -formato
- Imprime a saída no formato especificado. Os formatos válidos são
table
,json
eyaml
. O padrão étable
. Também é possível configurar o formato de saída usando a variável de ambienteVAULT_FORMAT
.
Exemplos
Obtenha os detalhes de um grupo de segredos específico no formato JSON.
vault read -format=json auth/ibmcloud/manage/groups/9c6d20ad-779e-27c5-3842-2a20b19abfcf
Saída
O comando retorna a saída a seguir:
{
"request_id": "ab6b22d9-8e42-d23f-31d8-a4865b5a40e7",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"created_at": "2020-10-05T17:43:49Z",
"description": "A group of secrets.",
"id": "9c6d20ad-779e-27c5-3842-2a20b19abfcf",
"name": "my-secret-group",
"type": "application/vnd.ibm.secrets-manager.secret.group+json",
"updated_at": ""
},
"warnings": null
}
Atualizar um grupo de segredos
Use esse comando para atualizar um grupo de segredos.
vault write [-format=FORMAT] auth/ibmcloud/manage/groups/SECRET_GROUP_ID name=NAME [description="DESCRIPTION"]
Pré-requisitos
É necessária a função de serviço Gerenciador para atualizar grupos de segredos.
Opções de comando
- nome
- O alias legível por humanos que você deseja designar ao grupo de segredos. Obrigatório.
- descrição
- Uma descrição estendida do grupo de segredo.
- -formato
- Imprime a saída no formato especificado. Os formatos válidos são
table
,json
eyaml
. O padrão étable
. Também é possível configurar o formato de saída usando a variável de ambienteVAULT_FORMAT
.
Exemplos
Atualize o nome e a descrição de um grupo de segredos.
vault write auth/ibmcloud/manage/groups/9c6d20ad-779e-27c5-3842-2a20b19abfcf name="my-updated-secret-group" description="An updated group of secrets."
Saída
O comando retorna a saída a seguir:
Key Value
--- -----
created_at 2020-10-05T17:43:49Z
description An updated group of secrets.
id 9c6d20ad-779e-27c5-3842-2a20b19abfcf
name my-updated-secret-group
type application/vnd.ibm.secrets-manager.secret.group+json
updated_at 2020-10-05T17:56:56Z
Excluir um grupo de segredos
Use esse comando para excluir um grupo de segredos.
vault delete auth/ibmcloud/manage/groups/SECRET_GROUP_ID
Pré-requisitos
É necessária a função de serviço Gerenciador para excluir grupos de segredos.
Exemplos
Exclua um grupo de segredos pelo ID designado dele.
vault delete auth/ibmcloud/manage/groups/9c6d20ad-779e-27c5-3842-2a20b19abfcf
Saída
O comando retorna a saída a seguir:
Success! Data deleted (if it existed) at: auth/ibmcloud/manage/groups/9c6d20ad-779e-27c5-3842-2a20b19abfcf
Segredos estáticos
Criar um segredo
Use os comandos a seguir para incluir um segredo estático, como uma credencial do usuário ou um segredo arbitrário, na sua instância do Secrets Manager. Os valores permitidos para SECRET_TYPE
são: arbitrary
,imported_cert
,
kv
, private_cert
, public_cert
e username_password
.
Crie um segredo no grupo de segredos default
.
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets name=NAME [description="DESCRIPTION"] [username=USERNAME] [password=USERNAME] [payload=DATA] [expiration_date=EXPIRATION] [certificate=CERTIFICATE_DATA] [private_key=PRIVATE_KEY_DATA] [intermediate=INTERMEDIATE_CERTIFICATE_DATA] [ca=CA_CONFIGURATION_NAME] [dns=DNS_CONFIGURATION_NAME] [key_algorithm=KEY_ALGORITHM] [labels=LABEL,LABEL]
Crie um segredo em um grupo de segredos especificado.
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets/groups/SECRET_GROUP_ID name=NAME [description="DESCRIPTION"] [username=USERNAME] [password=USERNAME] [payload=DATA] [expiration_date=EXPIRATION] [certificate=CERTIFICATE_DATA] [private_key=PRIVATE_KEY_DATA] [intermediate=INTERMEDIATE_CERTIFICATE_DATA] [ca=CA_CONFIGURATION_NAME] [dns=DNS_CONFIGURATION_NAME] [key_algorithm=KEY_ALGORITHM] [labels=LABEL,LABEL]
Pré-requisitos
É necessária a função de serviço Gravador para criar segredos.
Opções de comando
- nome
- O alias legível por humanos que você deseja designar ao segredo. Obrigatório.
- descrição
- Uma descrição estendida a ser designada ao segredo.
- expiration_date
- A data de expiração que você deseja atribuir ao segredo. Suportado para os tipos secretos
arbitrary
eusername_password
. O formato de data segue o RFC 3339. - rótulo
- Rótulos que você pode usar para agrupar e procurar segredos semelhantes em sua instância.
- carga útil
- Os dados que você deseja armazenar para os segredos
arbitrary
oukv
. Apenas as cargas úteis baseadas em texto são suportadas para segredosarbitrary
. O mecanismo de segredos de chave-valor pode armazenar segredos em formato JSON complexo. Com o seu segredo de chave-valor, é possível se integrar a ferramentas compatíveis com os comandos da CLI do HashiCorp Vault KV (Versão 2). Saiba mais sobre o gerenciamento de segredos de chave-valor com a CLI do Vault. - nome do usuário
- O nome de usuário que você deseja atribuir a um segredo
username_password
. - Senha
- A senha que você deseja atribuir a um segredo
username_password
. - Certificado
- Os dados do certificado que você deseja armazenar para um segredo
imported_cert
. O tipo de arquivo suportado é.pem
. - private_key
- Os dados da chave privada para armazenar de um segredo do
imported_cert
. O tipo de arquivo suportado é.pem
. - intermediário
- Dados de certificado intermediário a ser armazenado para um segredo do
imported_cert
. O tipo de arquivo suportado é.pem
. - ca
- A configuração da autoridade de certificados a ser usada para solicitar um segredo do
public_cert
. - dns
- A configuração do provedor DNS a ser usada para solicitar um segredo do
public_cert
. - key_algorithm
- O algoritmo principal a ser usado para assinatura e emissão de um segredo do
public_cert
. Os valores permitidos incluem:RSA2048
,RSA4096
,ECDSA256
,ECDSA384
- certificate_template
- O modelo de certificado a ser usado para criar um segredo
private_cert
. - common_name
- O nome comum a ser usado para a criação de um segredo
private_cert
. Dependendo do modelo de certificado que você escolher, algumas restrições sobre o nome comum para o seu certificado privado podem se aplicar. - -formato
- Imprime a saída no formato especificado. Os formatos válidos são
table
,json
eyaml
. O padrão étable
. Também é possível configurar o formato de saída usando a variável de ambienteVAULT_FORMAT
.
Exemplos
Crie uma credencial de usuário com uma data de expiração e dois rótulos.
vault write -format=json ibmcloud/username_password/secrets name="my-test-user-credential" expiration_date="2020-12-31T23:59:59Z" username="user123" password="window-steel-dogs-coffee" labels=label-1,label-2
Crie um segredo arbitrário com uma data de expiração e dois rótulos.
vault write -format=json ibmcloud/arbitrary/secrets name="my-test-arbitrary-secret" expiration_date="2020-12-31T23:59:59Z" payload="this is my secret data" labels=label-1,label-2
Crie um segredo arbitrário com carga útil binária.
base64 -w0 <filename> | vault write ibmcloud/arbitrary/secrets name="my-test-arbitrary-secret" payload=- labels="encode:base64"
Importe um certificado SSL/TLS com uma chave privada correspondente.
vault write -format=json ibmcloud/imported_cert/secrets name="my-test-imported-certificate" certificate=@cert.pem private_key=@key.pem
Solicite um certificado SSL/TLS público especificando uma configuração de autoridade de certificação e de provedor DNS.
vault write -format=json ibmcloud/public_cert/secrets name="my-test-public-certificate" ca="my-configured-certificate-authority" dns="my-configured-dns-provider" common_name="example.com" key_algorithm=RSA2048
Crie um certificado SSL/TLS privado especificando o modelo de certificado para usar.
vault write -format=json ibmcloud/private_cert/secrets name="my-test-private-certificate" certificate_template="my-configured-certificate-template" common_name="example.com"
Crie um conjunto de credenciais de serviço especificando o CRN da instância de serviço de origem e o nome da função do serviço IAM.
vault write -format=json ibmcloud/service_credentials/secrets name="test-sc-1" source_crn="crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc::" role="crn:v1:bluemix:public:iam::::serviceRole:Manager"
Saída
O comando para criar um segredo do username_password
retorna a saída a seguir:
{
"request_id": "c8edf459-cc26-d3f9-19e4-a24d899573f4",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-05T21:52:29Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:a6067f1c-98cf-9379-6188-a94a58222f5d",
"expiration_date": "2020-12-31T23:59:59Z",
"id": "a6067f1c-98cf-9379-6188-a94a58222f5d",
"labels": [
"label-1",
"label-2"
],
"last_update_date": "2020-10-05T21:52:29Z",
"name": "my-test-user-credential",
"secret_data": {
"password": "window-steel-dogs-coffee",
"username": "user123"
},
"secret_type": "USERNAME_PASSWORD",
"state": 1,
"state_description": "Active",
"versions": [
{
"auto_rotated": false,
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-05T21:52:29Z",
"id": "f53b8061-359e-3236-5bcc-fb120e170c87"
}
]
},
"warnings": null
}
O comando para criar um segredo do arbitrary
retorna a saída a seguir:
{
"request_id": "56f8532d-cd2b-372c-7b14-5a5875d1c6e6",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-05T21:47:27Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:2ca56a3b-a6e8-d2e2-5377-b6559babfac0",
"expiration_date": "2020-12-31T23:59:59Z",
"id": "2ca56a3b-a6e8-d2e2-5377-b6559babfac0",
"labels": [
"label-1",
"label-2"
],
"last_update_date": "2020-10-05T21:47:27Z",
"name": "my-test-arbitrary-secret",
"secret_data": {
"payload": "this is my secret data"
},
"secret_type": "ARBITRARY",
"state": 1,
"state_description": "Active",
"versions": [
{
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-05T21:47:27Z",
"id": "88473a6c-4877-5079-f999-c9a39e3407ea"
}
]
},
"warnings": null
}
O comando para importar um segredo do imported_cert
retorna a saída a seguir:
{
"request_id": "7b41ad30-8098-9f57-62cf-bd757d43238f",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"algorithm": "RSA",
"common_name": "example.com",
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2021-06-03T22:41:56Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:2ca56a3b-a6e8-d2e2-5377-b6559babfac0",
"expiration_date": "2021-06-04T15:25:44Z",
"id": "2ca56a3b-a6e8-d2e2-5377-b6559babfac0",
"intermediate_included": false,
"issuer": "US Texas Austin Example Corp. Example Org example.com",
"key_algorithm": "SHA256-RSA",
"labels": [],
"last_update_date": "2021-06-03T22:41:56Z",
"name": "my-test-imported-certificate",
"private_key_included": false,
"secret_type": "imported_cert",
"serial_number": "fc:22:29:7e:57:25:8a:05",
"state": 1,
"state_description": "Active",
"validity": {
"not_after": "2021-06-04T15:25:44Z",
"not_before": "2021-06-03T15:25:44Z"
},
"versions": [
{
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2021-06-03T22:41:56.354781389Z",
"expiration_date": "2021-06-04T15:25:44Z",
"id": "2fae17bf-106a-1c31-55d9-e642ee3803ae",
"serial_number": "fc:22:29:7e:57:25:8a:05",
"validity": {
"not_after": "2021-06-04T15:25:44Z",
"not_before": "2021-06-03T15:25:44Z"
}
}
]
},
"warnings": null
}
O comando para solicitar um segredo do public_cert
retorna a saída a seguir:
{
"request_id": "64824dec-c53e-8e49-dbe7-6c44c0dcd7a0",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"alt_names": [],
"common_name": "example.com",
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2021-10-08T03:25:51Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:2ca56a3b-a6e8-d2e2-5377-b6559babfac0",
"downloaded": false,
"id": "2c08d55d-1854-4dbd-9c25-bcd26828fe77",
"issuance_info": {
"auto_rotated": false,
"bundle_certs": true,
"ca": "my-configured-certificate-authority",
"dns": "my-configured-dns-provider",
"ordered_on": "2021-10-08T03:25:51Z",
"state": 0,
"state_description": "Pre-activation"
},
"key_algorithm": "RSA2048",
"labels": [],
"last_update_date": "2021-10-08T03:25:51Z",
"name": "my-test-public-certificate",
"rotation": {
"auto_rotate": false,
"rotate_keys": false
},
"secret_type": "public_cert",
"state": 0,
"state_description": "Pre-activation",
"versions": [],
"versions_total": 1
},
"warnings": null
}
O comando para criar um segredo do private_cert
retorna a saída a seguir:
{
"request_id": "7c72b7a6-0342-508a-1684-9625e11555db",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"algorithm": "SHA256-RSA",
"alt_names": [
"example.com"
],
"certificate_authority": "my-configured-intermediate-ca",
"certificate_template": "my-configured-template",
"common_name": "example.com",
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2022-05-03T18:18:43Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:2ca56a3b-a6e8-d2e2-5377-b6559babfac0",
"downloaded": true,
"expiration_date": "2022-06-04T18:18:43Z",
"id": "2c08d55d-1854-4dbd-9c25-bcd26828fe77",
"issuer": "example.com",
"key_algorithm": "RSA2048",
"labels": [],
"last_update_date": "2022-05-03T18:18:43Z",
"name": "my-test-private-certificate",
"rotation": {
"auto_rotate": false
},
"secret_data": {
"ca_chain": [
"-----BEGIN CERTIFICATE-----\nMIIGZjCCBU6gAwIBAgIUHTgL...(truncated)"
],
"certificate": "-----BEGIN CERTIFICATE-----\nMIIDJDCCAgygAwIBAgIUarx9...(truncated)",
"issuing_ca": "-----BEGIN CERTIFICATE-----\nMIIGZjCCBU6gAwIBAgIUHTgLW...(truncated)",
"private_key": "-----BEGIN RSA PRIVATE KEY-----\nMIIEpAIBAAKCAQEAtirEhptl3...(truncated)"
},
"secret_type": "private_cert",
"serial_number": "6a:bc:7d:63:2a:7c:60:90:00:53:d9:ae:83:b2:1d:bc:97:ae:fb:f1",
"state": 1,
"state_description": "Active",
"validity": {
"not_after": "2022-06-04T18:18:43Z",
"not_before": "2022-05-03T18:18:14Z"
},
"versions": [
{
"auto_rotated": false,
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2022-05-03T18:18:14Z",
"downloaded": true,
"expiration_date": "2022-06-04T18:18:43Z",
"id": "2c08d55d-1854-4dbd-9c25-bcd26828fe77",
"payload_available": true,
"serial_number": "6a:bc:7d:63:2a:7c:60:90:00:53:d9:ae:83:b2:1d:bc:97:ae:fb:f1",
"state": 1,
"state_description": "Active",
"validity": {
"not_after": "2022-06-04T18:18:43Z",
"not_before": "2022-05-03T18:18:14Z"
}
}
],
"versions_total": 1
},
"warnings": null
}
O comando para criar um segredo do service-credentials
retorna a saída a seguir:
{
"request_id": "13ee6f56-c91f-180c-8fc1-b4da6ac2817f",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"created_by": "IBMid-2700062DAH",
"creation_date": "2023-11-23T08:27:15Z",
"crn": "crn:v1:staging:public:secrets-manager:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:e2c32ad4-1414-41e0-8747-e107e6b9f8d6:secret:3c89e3ed-31fb-06f7-387b-c972213c89ee",
"custom_metadata": {},
"downloaded": true,
"iam_apikey_description": "Auto-generated for key crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675bc:resource-key:ada7d881-1af3-484c-8e79-4e071d9e1a7d",
"iam_apikey_id": "ApiKey-df88649d-5198-4ca5-884f-856a1b83031a",
"iam_apikey_name": "test-sc-1",
"iam_role_crn": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
"iam_serviceid_crn": "crn:v1:staging:public:iam-identity::a/826aa2b9cab6c666477fc55ebc47bafc::serviceid:ServiceId-40052fad-55a4-4090-ab9e-64877964a3bc",
"id": "3c89e3ed-31fb-06f7-387b-c972213c89be",
"labels": [],
"last_update_date": "2023-11-23T08:27:15Z",
"locks_total": 0,
"name": "test-sc-1",
"parameters": {},
"resource_key_crn": "crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc:resource-key:ada7d881-1af3-484c-8e79-4e071d9e1a7e",
"resource_key_name": "test-sc-1",
"role": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
"secret_data": {
"apikey": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
"guid": "f85409e9-1a06-47d5-8320-95ed4e1675bc",
"iam_apikey_description": "Auto-generated for key crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc:resource-key:ada7d881-1af3-484c-8e79-4e071d9e1a7e",
"iam_apikey_id": "ApiKey-df88649d-5198-4ca5-884f-856a1b83031a",
"iam_apikey_name": "test-sc-1",
"iam_role_crn": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
"iam_serviceid_crn": "crn:v1:staging:public:iam-identity::a/826aa2b9cab6c666477fc55ebc47bafc::serviceid:ServiceId-40052fad-55a4-4090-ab9e-64877964a3cc",
"instance_id": "f85409e9-1a06-47d5-8320-95ed4e1675cc",
"plan": "33b50df2-9cd6-4005-a941-bf0a59f0d183",
"region": "us-south"
},
"secret_type": "service_credentials",
"source_crn": "crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc::",
"state": 1,
"state_description": "Active",
"ttl": 0,
"versions": [
{
"created_by": "IBMid-3242342DAH",
"creation_date": "2023-11-23T08:27:15Z",
"downloaded": true,
"id": "34f934a3-def7-71e0-cc93-9c754879f2f8",
"payload_available": true,
"version_custom_metadata": {}
}
],
"versions_total": 1
},
"warnings": null
}
Listar segredos
Use os comandos a seguir para listar os segredos estáticos em sua instância do Secrets Manager. Os valores permitidos para SECRET_TYPE
são: arbitrary
, iam_credentials
, imported_cert
,
kv
, private_cert
, public_cert
, service_credentials
, custom_credentials
, e username_password
.
Listar segredos pelo tipo.
vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets
Listar segredos pelo grupo de segredos.
vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets/groups/ID
Pré-requisitos
É necessária a função de serviço Leitor para listar segredos.
Opções de comando
- -formato
- Imprime a saída no formato especificado. Os formatos válidos são
table
,json
eyaml
. O padrão étable
. Também é possível configurar o formato de saída usando a variável de ambienteVAULT_FORMAT
.
Exemplos
Recupere uma lista de segredos de credencial de usuário disponível no grupo de segredos do default
.
vault read -format=json ibmcloud/username_password/secrets
Recupere uma lista de segredos arbitrários designados a um grupo de segredos especificado.
vault read -format=json ibmcloud/arbitrary/secrets/groups/9ab2250f-a369-4e07-ade7-d417d63ad587
Saída
O comando retorna a saída a seguir:
{
"request_id": "65689e3a-7cc6-990e-4f0e-8480edd244ed",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"secrets": [
{
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-06T05:31:05Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:1cf95413-4c10-a5fa-e824-b5106375b129",
"expiration_date": "2020-12-31T23:59:59Z",
"id": "1cf95413-4c10-a5fa-e824-b5106375b129",
"labels": [],
"last_update_date": "2020-10-06T05:31:05Z",
"name": "my-test-arbitrary-secret",
"secret_group_id": "9ab2250f-a369-4e07-ade7-d417d63ad587",
"secret_type": "ARBITRARY",
"state": 1,
"state_description": "Active"
},
{
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-06T03:54:26Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:285d83ce-4a26-c5c3-8e58-48d3140a2415",
"id": "285d83ce-4a26-c5c3-8e58-48d3140a2415",
"labels": [],
"last_update_date": "2020-10-06T03:54:26Z",
"name": "another-test-arbitrary-secret",
"secret_group_id": "9ab2250f-a369-4e07-ade7-d417d63ad587",
"secret_type": "ARBITRARY",
"state": 1,
"state_description": "Active"
}
],
"secrets_total": 2
},
"warnings": null
}
Se os segredos pertencerem a um grupo de segredos, o valor data.secrets.secret_group_id
será incluído na resposta para identificar a designação do grupo de segredos.
Obter um segredo
Use os comandos a seguir para recuperar um segredo e seus detalhes. Os valores permitidos para SECRET_TYPE
são: arbitrary
, iam_credentials
, imported_cert
, kv
,
private_cert
, public_cert
, service_credentials
, custom_credentials
, e username_password
. O ID do segredo ou o Nome do segredo pode ser usado para recuperar o segredo.
Obter um segredo.
vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets/SECRET_ID_OR_SECRET_NAME
Obtenha um segredo que é atribuído a um grupo de segredo especificado.
vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets/groups/SECRET_GROUP_ID/SECRET_ID_OR_SECRET_NAME
Pré-requisitos
É necessária a função de serviço de SecretsReader ou Gravador para recuperar os segredos.
Opções de comando
- -formato
- Imprime a saída no formato especificado. Os formatos válidos são
table
,json
eyaml
. O padrão étable
. Também é possível configurar o formato de saída usando a variável de ambienteVAULT_FORMAT
.
Exemplos
Recuperar um segredo arbitrário, incluindo sua carga útil.
Recuperando por ID de segredo
vault read -format=json ibmcloud/arbitrary/secrets/71539dff-9e84-804a-debb-ab3eb3d8afce
Recuperando por Nome do segredo
vault read -format=json ibmcloud/arbitrary/secrets/my-test-arbitrary-secret
Saída
O comando retorna a saída a seguir:
{
"request_id": "025df8ac-b926-6153-3f5b-cd2364b5f85e",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-20T16:55:41Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:71539dff-9e84-804a-debb-ab3eb3d8afce",
"id": "71539dff-9e84-804a-debb-ab3eb3d8afce",
"labels": [],
"last_update_date": "2020-10-20T16:55:41Z",
"name": "my-test-arbitrary-secret",
"secret_data": {
"payload": "This is the data for my secret."
},
"secret_type": "ARBITRARY",
"state": 1,
"state_description": "Active",
"versions": [
{
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-20T16:55:41Z",
"id": "cc2c795e-0072-8074-9824-b6efd5050232"
}
]
},
"warnings": null
}
Atualizar um segredo
Use esse comando para atualizar os metadados de um segredo, como o nome ou a descrição dele. Os valores permitidos para SECRET_TYPE
são: arbitrary
, iam_credentials
, imported_cert
,
kv
, private_cert
, public_cert
, service_credentials
, custom_credentials
, e username_password
.
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets/SECRET_ID/metadata name=NAME [description="DESCRIPTION"][expiration_date=EXPIRATION] [labels=LABEL,LABEL]
Pré-requisitos
É necessária a função de serviço Gravador para atualizar segredos.
Opções de comando
- nome
- O alias legível por humanos que você deseja designar ao segredo.
- descrição
- Uma descrição estendida a ser designada ao segredo.
- expiration_date
- A data de expiração que você deseja atribuir ao segredo. O formato de data segue o RFC 3339.
- rótulo
- Rótulos que você pode usar para agrupar e procurar segredos semelhantes em sua instância.
- -formato
- Imprime a saída no formato especificado. Os formatos válidos são
table
,json
eyaml
. O padrão étable
. Também é possível configurar o formato de saída usando a variável de ambienteVAULT_FORMAT
.
Exemplos
Atualize o nome de um segredo arbitrário.
vault write -format=json ibmcloud/arbitrary/secrets/fe874c2b-e8fd-bbb6-9f19-e91bbe744735/metadata name="updated-name-arbitrary-secret"
Atualize o nome de um segredo de credenciais de serviço
vault write -format=json ibmcloud/service_credentials/secrets/3c89e3ed-31fb-06f7-387b-c972213c89be/metadata name="updated-name-sc-secret"
Saída
O comando arbitrário retorna a seguinte saída:
{
"request_id": "f361132f-a0e3-eab0-52b8-4d992074b411",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-22T14:26:44Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:fe874c2b-e8fd-bbb6-9f19-e91bbe744735",
"id": "fe874c2b-e8fd-bbb6-9f19-e91bbe744735",
"labels": [],
"last_update_date": "2020-10-22T14:54:25Z",
"name": "updated-name-arbitrary-secret",
"secret_type": "ARBITRARY",
"state": 1,
"state_description": "Active"
},
"warnings": null
}
O comando service credentials retorna a seguinte saída:
{
{
"request_id": "62f4f088-0588-51ec-3389-da83b4c34a6a",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"created_by": "IBMid-2723462DAH",
"creation_date": "2023-11-23T08:27:15Z",
"crn": "crn:v1:staging:public:secrets-manager:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:e2c32ad4-1414-41e0-8747-e107e6b9f8e6:secret:3c89e3ed-31fb-06f7-387b-c972213c89be",
"custom_metadata": {},
"downloaded": false,
"iam_apikey_description": "Auto-generated for key crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc:resource-key:ada7d881-1af3-484c-8e79-4e071d9e1a7e",
"iam_apikey_id": "ApiKey-df88649d-5198-4ca5-884f-856a1b83031a",
"iam_apikey_name": "test-sc-1",
"iam_role_crn": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
"iam_serviceid_crn": "crn:v1:staging:public:iam-identity::a/826aa2b9cab6c666477fc55ebc47bafc::serviceid:ServiceId-40052fad-55a4-4090-ab9e-64877964a3ac",
"id": "3c89e3ed-31fb-06f7-387b-c972213c89be",
"labels": [],
"last_update_date": "2023-11-23T08:48:20Z",
"locks_total": 0,
"name": "updated-name-sc-secret",
"parameters": {},
"resource_key_crn": "crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc:resource-key:ada7d881-1af3-484c-8e79-4e071d9e1a7e",
"resource_key_name": "test-sc-1",
"role": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
"secret_type": "service_credentials",
"source_crn": "crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc::",
"state": 1,
"state_description": "Active",
"ttl": 0,
"versions_total": 2
},
"warnings": null
}
Atualizar uma versão secreta
Use este comando para atualizar uma versão específica de um segredo
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets/SECRET_ID/versionins/VERSION_ID/metadata
{
"version_custom_metadata": {
"metadata_custom_key": "metadata_custom_value"
}
}
Exemplos
vault write -format=json ibmcloud/service_credentials/secrets/1a3f9fbc-58d4-ac68-7984-f422d8b8112a/versions/38a361c8-51a2-6fc4-1ed8-d59747db5847/metadata
{
"version_custom_metadata": {
"metadata_custom_key": "metadata_custom_value"
}
}
{ :pre}
Saída
{
"request_id": "8a395155-01eb-be57-e73d-53a9bbe09139",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"auto_rotated": false,
"created_by": "IBMid-2723462DAH",
"creation_date": "2023-11-23T10:19:45Z",
"crn": "crn:v1:staging:public:secrets-manager:us-south:a/826aa2b9cab6c666477fc55ebc47bafd:e2c32ad4-1414-41e0-8747-e107e6b9f8d7:secret:1a3f9fbc-58d4-ac68-7984-f422d8b8112a",
"expiration_date": "2023-12-03T10:19:45Z",
"id": "1a3f9fbc-58d4-ac68-7984-f422d8b8112a",
"payload_available": true,
"resource_key_crn": "crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafd:f85409e9-1a06-47d5-8320-95ed4e1675bd:resource-key:496acdc2-792c-4425-8172-32fcd5cddaca",
"resource_key_name": "test-sc-1",
"version_custom_metadata": {
"metadata_custom_key": "metadata_custom_value"
},
"version_id": "38a361c8-51a2-6fc4-1ed8-d59747db5847"
},
"warnings": null
}
Girar um segredo
Use esse comando para girar um segredo. Os valores permitidos para SECRET_TYPE
são: arbitrary
, iam_credentials
, imported_cert
, kv
, private_cert
,
public_cert
, service_credentials
, custom_credentials
, e username_password
.
vault write [-format=FORMAT] [-force] ibmcloud/SECRET_TYPE/secrets/SECRET_ID/rotate [payload="SECRET_DATA"] [password=PASSWORD] [certificate=CERTIFICATE_DATA] [private_key=PRIVATE_KEY_DATA] [intermediate=INTERMEDIATE_CERTIFICATE_DATA]
Pré-requisitos
É necessária a função de serviço Gravador para girar segredos.
Opções de comando
- carga útil
- Os novos dados a serem armazenados para um segredo
arbitrary
. Apenas as cargas úteis baseadas em texto são suportadas. Caso seja necessário armazenar um arquivo binário, certifique-se de codificá-lo como base64 antes de salvá-lo no Secrets Manager. Para obter mais informações, consulte Exemplos. - Senha
- A nova senha a ser designada a um segredo do
username_password
. - Certificado
- Os novos dados do certificado a serem armazenados para um segredo
imported_cert
. O tipo de arquivo suportado é.pem
. - private_key
- Os novos dados da chave privada a ser armazenada de um segredo do
imported_cert
. O tipo de arquivo suportado é.pem
. - intermediário
- Os novos dados do certificado intermediário a ser armazenado de um segredo
imported_cert
. O tipo de arquivo suportado é.pem
. - -formato
- Imprime a saída no formato especificado. Os formatos válidos são
table
,json
eyaml
. O padrão étable
. Também é possível configurar o formato de saída usando a variável de ambienteVAULT_FORMAT
. - -force
- Substitui a senha que é armazenada para um segredo do
username_password
com uma senha gerada aleatoriamente, com 32 caracteres que contém letras maiúsculas, letras minúsculas, dígitos e símbolos.
Exemplos
Gire manualmente os dados do segredo armazenados para um segredo arbitrário.
vault write -format=json ibmcloud/arbitrary/secrets/fe874c2b-e8fd-bbb6-9f19-e91bbe744735/rotate payload="Updated secret data."
Gire manualmente a senha que é armazenada para um segredo do username_password
.
vault write -format=json ibmcloud/username_password/secrets/cb32abc1-2a4b-e0fd-f403-233e5249e130/rotate password="my-updated-password"
Substitua a senha que é armazenada para um segredo do username_password
por uma senha de 32 caracteres gerada aleatoriamente.
vault write -format=json -force ibmcloud/username_password/secrets/cb32abc1-2a4b-e0fd-f403-233e5249e130/rotate
Gire um conjunto de credenciais de serviço.
vault write -format=json -force ibmcloud/service_credentials/secrets/3c89e3ed-31fb-06f7-387b-c972213c89be/rotate
Saída
O comando para girar manualmente um segredo do username_password
com uma senha fornecida pelo usuário retorna a saída a seguir:
{
"request_id": "9cb258e5-fbc9-7a37-f8c9-c5ab1dd7b823",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-22T15:09:19Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:cb32abc1-2a4b-e0fd-f403-233e5249e130",
"id": "cb32abc1-2a4b-e0fd-f403-233e5249e130",
"labels": [],
"last_update_date": "2020-10-22T15:10:34Z",
"name": "new-username-password",
"secret_data": {
"password": "my-updated-password",
"username": "my-username"
},
"secret_type": "USERNAME_PASSWORD",
"state": 1,
"state_description": "Active"
},
"warnings": null
}
O comando para girar manualmente um segredo do username_password
com uma senha gerada pelo serviço retorna a saída a seguir:
{
"request_id": "67992946-3fd7-8cbe-9464-f5bc0cc8254e",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-22T15:09:19Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:cb32abc1-2a4b-e0fd-f403-233e5249e130",
"id": "cb32abc1-2a4b-e0fd-f403-233e5249e130",
"labels": [],
"last_update_date": "2020-10-22T16:25:55Z",
"name": "new-username-password",
"secret_data": {
"password": "TYRodi/HX7s095UpQ38)L1z(t4\u003ccG6!2",
"username": "my-username"
},
"secret_type": "USERNAME_PASSWORD",
"state": 1,
"state_description": "Active"
},
"warnings": null
}
O comando para girar manualmente um conjunto de credenciais de serviço retorna a saída a seguir:
{
"request_id": "6adeab90-93a3-79eb-24eb-ae6f1c6856dc",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"created_by": "IBMid-2734562DAH",
"creation_date": "2023-11-23T08:27:15Z",
"crn": "crn:v1:staging:public:secrets-manager:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:e2c32ad4-1414-41e0-8747-e107e6b9f8d6:secret:3c89e3ed-31fb-06f7-387b-c972213c89ee",
"custom_metadata": {},
"downloaded": false,
"iam_apikey_description": "Auto-generated for key crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc:resource-key:ada7d881-1af3-484c-8e79-4e071d9e1a7e",
"iam_apikey_id": "ApiKey-df88649d-5198-4ca5-884f-856a1b83031a",
"iam_apikey_name": "test-sc-1",
"iam_role_crn": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
"iam_serviceid_crn": "crn:v1:staging:public:iam-identity::a/826aa2b9cab6c666477fc55ebc47bacc::serviceid:ServiceId-40052fad-55a4-4090-ab9e-64877964a3ac",
"id": "3c89e3ed-31fb-06f7-387b-c972213c89be",
"labels": [],
"last_update_date": "2023-11-23T08:48:20Z",
"locks_total": 0,
"name": "test-sc-1",
"parameters": {},
"resource_key_crn": "crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc:resource-key:ada7d881-1af3-484c-8e79-4e071d9e1a7e",
"resource_key_name": "test-sc-1",
"role": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
"secret_data": {
"apikey": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
"guid": "f85409e9-1a06-47d5-8320-95ed4e1675bc",
"iam_apikey_description": "Auto-generated for key crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc:resource-key:48d0d690-7095-4e91-b267-bb8f4e7cc1e7",
"iam_apikey_id": "ApiKey-7a2311a5-d071-4d4f-b511-f1182e5e9849",
"iam_apikey_name": "test-sc-1",
"iam_serviceid_crn": "crn:v1:staging:public:iam-identity::a/826aa2b9cab6c666477fc55ebc47bacc::serviceid:ServiceId-40052fad-55a4-4090-ab9e-64877964a3ac",
"instance_id": "f85409e9-1a06-47d5-8320-95ed4e1675cc",
"plan": "33b50df2-9cd6-4005-a941-bf0a59f0d133",
"region": "us-south"
},
"secret_type": "service_credentials",
"source_crn": "crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc::",
"state": 1,
"state_description": "Active",
"ttl": 0,
"versions": [
{
"created_by": "IBMid-2723462DAH",
"creation_date": "2023-11-23T08:27:15Z",
"downloaded": true,
"id": "34f934a3-def7-71e0-cc93-9c754879f2f8",
"payload_available": true,
"version_custom_metadata": {}
},
{
"created_by": "IBMid-2723462DAH",
"creation_date": "2023-11-23T08:48:20Z",
"downloaded": false,
"id": "1449cd40-dd18-5f68-7719-7a08a9f8e57d",
"payload_available": true,
"version_custom_metadata": {}
}
],
"versions_total": 2
},
"warnings": null
}
Excluir um segredo
Use esse comando para excluir um segredo. Os valores permitidos para SECRET_TYPE
são: arbitrary
, iam_credentials
, imported_cert
, kv
, private_cert
,
public_cert
, service_credentials
, custom_credentials
, e username_password
.
Excluir um segredo no grupo de segredos default
.
vault delete ibmcloud/SECRET_TYPE/secrets/SECRET_ID
Exclua um segredo em um grupo de segredos existente.
vault delete ibmcloud/SECRET_TYPE/secrets/groups/SECRET_GROUP_ID/SECRET_ID
Pré-requisitos
É necessária a função de serviço Gerenciador para excluir segredos.
Opções de comando
- -formato
- Imprime a saída no formato especificado. Os formatos válidos são
table
,json
eyaml
. O padrão étable
. Também é possível configurar o formato de saída usando a variável de ambienteVAULT_FORMAT
.
Exemplos
Exclua um segredo arbitrário pelo ID designado dele.
vault delete ibmcloud/arbitrary/secrets/d26702aa-77ae-400e-4f25-9790a9cabf9c
Saída
O comando retorna a saída a seguir:
Success! Data deleted (if it existed) at: ibmcloud/arbitrary/secrets/d26702aa-77ae-400e-4f25-9790a9cabf9c
Segredos dinâmicos
Os segredos dinâmicos são credenciais de uso único geradas apenas ao serem lidas ou acessadas.
Para criar um segredo dinâmico usando a CLI do Vault, use o comando role
para definir o escopo do segredo com o nível de permissões desejado em sua conta do IBM Cloud. Em seguida, use o comando creds
para gerar credenciais
para a função.
Criar uma função
Use os comandos a seguir para registrar uma função para um mecanismo de segredos que suporta segredos dinâmicos. Depois de criar uma função, é possível gerar credenciais para ela. A configuração definida para a função, como o nome dela, a duração de lease e as permissões de acesso, é herdada pelas credenciais geradas.
Criar uma função no grupo de segredos do default
.
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/roles/ROLE_NAME access_groups=ACCESS_GROUP_ID,ACCESS_GROUP_ID ttl=LEASE_DURATION [description="DESCRIPTION"] [labels=LABEL,LABEL]
Crie uma função em um grupo de segredos especificado.
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/roles/groups/SECRET_GROUP_ID/ROLE_NAME access_groups=ACCESS_GROUP_ID,ACCESS_GROUP_ID ttl=LEASE_DURATION [description="DESCRIPTION"] [labels=LABEL,LABEL]
Pré-requisitos
É necessária a função de serviço Gravador para criar segredos.
Opções de comando
- SECRET_TYPE
- O tipo de segredo que você deseja criar. Atualmente,
iam_credentials
é suportado. - SECRET_GROUP_ID
- O ID do grupo de segredos que você deseja designar à função e às credenciais dela.
- ROLE_NAME
- O alias legível por humanos que você deseja designar à função e às credenciais dela.
- access_groups
- O ID do grupo de acesso que determina o escopo de acesso a ser designado à função e às credenciais dela.
- ttl
- O TTL (time-to-live) que determina por quanto tempo as credenciais geradas por uma função podem existir. Use uma sequência de caracteres de duração como
300s
ou1h30m
. As unidades de tempo válidas sãos
,m
eh
. - descrição
- Uma descrição estendida a ser designada para a função e suas credenciais.
- rótulo
- Rótulos que você pode usar para agrupar e procurar segredos semelhantes em sua instância.
- -formato
- Imprime a saída no formato especificado. Os formatos válidos são
table
,json
eyaml
. O padrão étable
. Também é possível configurar o formato de saída usando a variável de ambienteVAULT_FORMAT
.
Exemplos
Configure uma credencial do IAM com duração de lease de 1 hora e designe-a ao grupo de segredos default
.
vault write -format=json ibmcloud/iam_credentials/roles/test-iam-credentials access_groups=AccessGroupId-985dc0a3-857b-48bd-b6d6-33819da7ba42 ttl=1h description="My test IAM credential." labels=test,us-south
Configure uma credencial do IAM com uma duração de lease de uma hora e designe-a a um grupo de segredos especificado.
vault write -format=json ibmcloud/iam_credentials/roles/groups/9ab2250f-a369-4e07-ade7-d417d63ad587/test-iam-credential-in-group access_groups=AccessGroupId-985dc0a3-857b-48bd-b6d6-33819da7ba42 ttl=1h description="My test IAM credential that is assigned to a secret group." labels=test,us-south
Saída
O comando retorna a saída a seguir:
{
"request_id": "d4150a28-1184-8864-dcd3-15b0d18da7c1",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"access_groups": [
"AccessGroupId-985dc0a3-857b-48bd-b6d6-33819da7ba42"
],
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-09T17:13:47Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e::",
"description": "My test IAM credential that is assigned to a secret group.",
"id": "091ca93f-5c99-4078-9d7e-4801143030fd",
"labels": [
"test",
"us-south"
],
"last_update_date": "2020-10-09T17:13:47Z",
"name": "test-iam-credential-in-group",
"secret_group_id": "9ab2250f-a369-4e07-ade7-d417d63ad587",
"secret_type": "IAM_CREDENTIALS",
"state": 1,
"state_description": "Active",
"ttl": 3600
},
"warnings": null
}
Se a função for criada em um grupo de segredos, o valor data.secret_group_id
será incluído na resposta para identificar a designação do grupo de segredos.
Gerar credenciais do IAM
Use os comandos a seguir para gerar uma chave de API para uma função. Esse comando cria um ID de serviço e o inclui no grupo de acesso configurado para a função e, em seguida, gera uma chave de API para o ID de serviço.
Gere uma chave de API para uma função no grupo de segredos do default
.
vault read [-format=FORMAT] ibmcloud/iam_credentials/creds/ROLE_ID
Gere uma chave de API para uma função em um grupo de segredos especificado.
vault read [-format=FORMAT] ibmcloud/iam_credentials/creds/groups/SECRET_GROUP_ID/ROLE_ID
As chaves de API geradas são renováveis e têm um tempo de vida (TTL) conforme definido pela função ou o padrão do sistema.
Pré-requisitos
É necessária a função de serviço Gravador para criar segredos.
Opções de comando
- SECRET_GROUP_ID
- O ID do grupo de segredos que você deseja designar a este segredo.
- ROLE_ID
- O ID ou o nome designado à função deste segredo.
- -formato
- Imprime a saída no formato especificado. Os formatos válidos são
table
,json
eyaml
. O padrão étable
. Também é possível configurar o formato de saída usando a variável de ambienteVAULT_FORMAT
.
Exemplos
Gere uma credencial do IAM para um segredo que está designado ao grupo de segredos do default
.
vault read -format=json ibmcloud/iam_credentials/creds/test-iam-credentials
Gere uma credencial do IAM para um segredo que seja designada a um grupo de segredos especificado.
vault read -format=json ibmcloud/iam_credentials/creds/groups/9ab2250f-a369-4e07-ade7-d417d63ad587/test-iam-credential-in-group
Saída
O comando retorna a saída a seguir:
{
"request_id": "48d14d52-ce92-6efc-aeaa-b49cc11eabd6",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"access_groups": [
"AccessGroupId-985dc0a3-857b-48bd-b6d6-33819da7ba42"
],
"api_key": "Cg7l3kJveurEry_P7_fLPIBR....(truncated)",
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-09T17:13:47Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e::",
"description": "My test IAM credential that is assigned to a secret group.",
"id": "091ca93f-5c99-4078-9d7e-4801143030fd",
"labels": [
"test",
"us-south"
],
"last_update_date": "2020-10-09T17:53:23Z",
"name": "test-iam-credential-in-group",
"secret_group_id": "9ab2250f-a369-4e07-ade7-d417d63ad587",
"secret_type": "IAM_CREDENTIALS",
"service_id": "ServiceId-ae06783c-0ab4-4b02-a78a-8dff7d0634c6",
"state": 1,
"state_description": "Active",
"ttl": 3600
},
"warnings": null
}
Se a função pertencer a um grupo de segredos, o valor data.secret_group_id
será incluído na resposta para identificar a designação do grupo de segredos.
Listar funções
Use os comandos a seguir para listar as funções ou segredos em sua instância do Secrets Manager.
Listar funções pelo tipo.
vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/roles
Listar funções pelo ID do grupo de segredos.
vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/roles/groups/SECRET_GROUP_ID
Pré-requisitos
É necessária a função de serviço Leitor para listar segredos.
Opções de comando
- SECRET_TYPE
- O tipo de segredo que você deseja listar. Atualmente,
iam_credentials
é suportado. - SECRET_GROUP_ID
- O ID do grupo de segredos.
- -formato
- Imprime a saída no formato especificado. Os formatos válidos são
table
,json
eyaml
. O padrão étable
. Também é possível configurar o formato de saída usando a variável de ambienteVAULT_FORMAT
.
Exemplos
Recuperar uma lista de credenciais do IAM.
vault read -format=json ibmcloud/iam_credentials/roles
Recupere uma lista de credenciais do IAM que pertença a um grupo de segredos especificado.
vault read -format=json ibmcloud/iam_credentials/roles/groups/9ab2250f-a369-4e07-ade7-d417d63ad587
Saída
O comando retorna a saída a seguir:
{
"request_id": "d567207f-b5e6-fc35-086e-fbc465bf3678",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"roles": [
{
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-09T17:13:47Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e::",
"description": "My test IAM credential that is assigned to a secret group.",
"id": "091ca93f-5c99-4078-9d7e-4801143030fd",
"labels": [
"test",
"us-south"
],
"last_update_date": "2020-10-09T17:13:47Z",
"name": "test-iam-credential-in-group",
"secret_group_id": "9ab2250f-a369-4e07-ade7-d417d63ad587",
"secret_type": "IAM_CREDENTIALS",
"state": 1,
"state_description": "Active",
"ttl": 3600
},
{
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-09T17:05:21Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:a810998d-2912-4865-b4da-8dcc7465d784",
"description": "My test IAM credential.",
"id": "a810998d-2912-4865-b4da-8dcc7465d784",
"labels": [
"test",
"us-south"
],
"last_update_date": "2020-10-09T17:05:21Z",
"name": "test-iam-credentials",
"secret_type": "IAM_CREDENTIALS",
"state": 1,
"state_description": "Active",
"ttl": 3600
}
],
"roles_total": 2
},
"warnings": null
}
Se a função pertencer a um grupo de segredos, o valor roles.data.secret_group_id
será incluído na resposta para identificar a designação do grupo de segredos.
Ler os metadados de uma função
Use os comandos a seguir para visualizar detalhes sobre uma função ou um segredo registrado, como o nome e o histórico deles.
Exibir os detalhes de uma função.
vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/roles/ROLE_ID/metadata
Visualize os detalhes de uma função que é atribuída a um grupo de segredo.
vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/roles/groups/GROUP_ID/ROLE/metadata
Pré-requisitos
É necessária a função de serviço Leitor para visualizar os metadados de um segredo.
Opções de comando
- SECRET_TYPE
- O tipo de segredo que você deseja visualizar. Atualmente,
iam_credentials
é suportado. - SECRET_GROUP_ID
- O ID do grupo de segredos designado à função e às credenciais dela
- ROLE_ID
- O ID designado à função deste segredo.
- -formato
- Imprime a saída no formato especificado. Os formatos válidos são
table
,json
eyaml
. O padrão étable
. Também é possível configurar o formato de saída usando a variável de ambienteVAULT_FORMAT
.
Exemplos
Visualize os detalhes de uma função que é atribuída a um grupo de segredo.
vault read -format=json ibmcloud/iam_credentials/roles/groups/9ab2250f-a369-4e07-ade7-d417d63ad587/091ca93f-5c99-4078-9d7e-4801143030fd/metadata
Saída
O comando retorna a saída a seguir:
{
"request_id": "cb4672e2-51d9-3a83-f8a2-717afe16e24a",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"access_groups": [
"AccessGroupId-985dc0a3-857b-48bd-b6d6-33819da7ba42"
],
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-09T17:13:47Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e::",
"description": "My test IAM credential that is assigned to a secret group.",
"id": "091ca93f-5c99-4078-9d7e-4801143030fd",
"labels": [
"test",
"us-south"
],
"last_update_date": "2020-10-09T17:13:47Z",
"name": "test-iam-credential-in-group",
"secret_group_id": "9ab2250f-a369-4e07-ade7-d417d63ad587",
"secret_type": "IAM_CREDENTIALS",
"state": 1,
"state_description": "Active",
"ttl": 3600
},
"warnings": null
}
Atualizar os metadados de uma função
Use os comandos a seguir para visualizar detalhes sobre uma função ou um segredo registrado, como o nome e o histórico deles.
Atualize os detalhes de uma função no grupo de segredos do default
.
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/roles/ROLE_ID/metadata [name="ROLE_NAME"] [access_groups=ACCESS_GROUP_ID,ACCESS_GROUP_ID] [ttl=LEASE_DURATION] [description="DESCRIPTION"] [labels=LABEL,LABEL]
Atualize os detalhes de uma função que é atribuída a um grupo secreto.
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/roles/groups/SECRET_GROUP_ID/ROLE_ID/metadata [name="ROLE_NAME"] [access_groups=ACCESS_GROUP_ID,ACCESS_GROUP_ID] [ttl=LEASE_DURATION] [description="DESCRIPTION"] [labels=LABEL,LABEL]
Pré-requisitos
É necessária a função de serviço Gravador para atualizar os metadados de um segredo.
Opções de comando
- SECRET_TYPE
- O tipo de segredo que você deseja atualizar. Atualmente,
iam_credentials
é suportado. - SECRET_GROUP_ID
- O ID do grupo de segredos designado à função e às credenciais dela.
- ROLE_ID
- O ID designado a este segredo.
- access_groups
- O ID do grupo de acesso que determina o escopo de acesso a ser designado à função e às credenciais dela.
- ttl
- O tempo de vida (TTL) que determina por quanto tempo as credenciais geradas de uma função podem existir. Use uma sequência de caracteres de duração como
300s
ou1h30m
. As unidades de tempo válidas sãos
,m
eh
. - nome
- O novo nome que você deseja atribuir para este segredo.
- descrição
- Uma descrição estendida a ser designada para a função e suas credenciais.
- rótulo
- Rótulos que você pode usar para agrupar e procurar segredos semelhantes em sua instância.
- -formato
- Imprime a saída no formato especificado. Os formatos válidos são
table
,json
eyaml
. O padrão étable
. Também é possível configurar o formato de saída usando a variável de ambienteVAULT_FORMAT
.
Exemplos
Atualize os detalhes de uma função que é designada para o grupo do default
.
vault write -format=json ibmcloud/iam_credentials/roles/091ca93f-5c99-4078-9d7e-4801143030fd/metadata name="new-credential-name"
Saída
O comando retorna a saída a seguir:
{
"request_id": "cb4672e2-51d9-3a83-f8a2-717afe16e24a",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"access_groups": [
"AccessGroupId-985dc0a3-857b-48bd-b6d6-33819da7ba42"
],
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-09T17:13:47Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e::",
"description": "My test IAM credential.",
"id": "091ca93f-5c99-4078-9d7e-4801143030fd",
"labels": [
"test",
"us-south"
],
"last_update_date": "2020-10-09T17:13:47Z",
"name": "new-credential-name",
"secret_type": "IAM_CREDENTIALS",
"state": 1,
"state_description": "Active",
"ttl": 3600
},
"warnings": null
}
Excluir uma função
Use os seguintes comandos para excluir uma função.
Excluir uma função no grupo de segredos do default
.
vault delete ibmcloud/SECRET_TYPE/roles/ROLE_ID
Excluir uma função para um grupo de segredo.
vault delete ibmcloud/SECRET_TYPE/roles/groups/SECRET_GROUP_ID/ROLE_ID
Pré-requisitos
É necessária a função de serviço Gravador para atualizar os metadados de um segredo.
Opções de comando
- SECRET_TYPE
- O tipo de segredo que você deseja excluir. Atualmente,
iam_credentials
é suportado. - SECRET_GROUP_ID
- O ID do grupo de segredos designado à função e às credenciais dela.
- ROLE_ID
- O ID designado a este segredo.
Exemplos
Exclua uma função que é designada para o grupo do default
.
vault delete ibmcloud/iam_credentials/roles/091ca93f-5c99-4078-9d7e-4801143030fd
Saída
O comando retorna a saída a seguir:
Success! Data deleted (if it existed) at: ibmcloud/iam_credentials/roles/091ca93f-5c99-4078-9d7e-4801143030fd
Bloqueios
Bloquear um segredo
Use os seguintes comandos para criar um ou mais bloqueios na versão atual de um segredo.
Crie um bloqueio em um segredo no grupo secreto padrão.
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/SECRET_ID/lock @FILE
Crie um bloqueio em um segredo em um grupo secreto personalizado.
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/groups/SECRET_GROUP_ID/SECRET_ID/lock @FILE
Tranque um segredo exclusivamente.
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/groups/SECRET_GROUP_ID/SECRET_ID/lock_exclusive @FILE
Bloqueie um segredo exclusivamente e exclua dados da versão anterior.
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/groups/SECRET_GROUP_ID/SECRET_ID/lock_exclusive_delete @FILE
Pré-requisitos
Você precisa da função de serviço Writer ou superior para criar bloqueios secretos.
Opções de comando
- SECRET_TYPE
- O tipo de segredo que você deseja bloquear.
- SECRET_GROUP_ID
- O ID do grupo de segredos.
- FILE
- O arquivo JSON que contém os detalhes do bloqueio.
- nome
- O alias legível por humanos que você deseja designar ao grupo de segredos. Obrigatório.
- descrição
- Uma descrição estendida do grupo de segredo.
- -formato
- Imprime a saída no formato especificado. Os formatos válidos são
table
,json
eyaml
. O padrão étable
. Também é possível configurar o formato de saída usando a variável de ambienteVAULT_FORMAT
.
Exemplos
Crie um bloqueio em um segredo no grupo secreto padrão.
vault write -format=json ibmcloud/arbitrary/locks/fe874c2b-e8fd-bbb6-9f19-e91bbe744735/lock @locks.json
Crie um bloqueio em um segredo em um grupo secreto personalizado.
vault write -format=json ibmcloud/arbitrary/locks/groups/bb6-9f19-e91bbe744735/fe874c2b-e8fd-bbb6-9f19/lock @locks.json
Você pode formatar o arquivo JSON que contém os detalhes do bloqueio secreto com base no exemplo a seguir.
{
"locks": [
{
"name": "lockX",
"description": "blabla",
"attributes": {"key": "value"}
},
{
"name": "lockY",
"description": "blabla",
"attributes": {"key": "value"}
}
]
}
Saída
O comando para criar um bloqueio em um segredo no grupo padrão retorna a saída a seguir:
{
"request_id": "df85bbe9-4a0a04-06b123",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"secret_group_id": "default",
"secret_id": "65e44d42-cf24f4-490fa9",
"versions": [
{
"alias": "current",
"id": "6df7edfe-e5f-0b66c-aaba832",
"locks": [
"lock4",
"lock5"
],
"payload_available": true
}
]
},
"warnings": null
}
Listar bloqueios secretos
Use os seguintes comandos para listar os bloqueios que estão associados com a versão atual de um segredo.
Liste os bloqueios em um segredo que está no grupo secreto padrão.
vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/SECRET_ID
vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/groups/SECRET_GROUP_ID/SECRET_ID
Pré-requisitos
Você precisa da função de serviço Reader ou superior para listar bloqueios secretos.
Opções de comando
- -formato
- Imprime a saída no formato especificado. Os formatos válidos são
table
,json
eyaml
. O padrão étable
. Também é possível configurar o formato de saída usando a variável de ambienteVAULT_FORMAT
.
Exemplos
Liste os bloqueios que estão associados a um segredo arbitrário no grupo secreto padrão.
vault read -format=json ibmcloud/arbitrary/locks/184408d6-8264-5ff3-c308-6922ed04ad88
Liste os bloqueios que estão associados a um segredo de credenciais de um usuário em um grupo secreto personalizado.
vault read -format=json ibmcloud/username_password/locks/groups/d2e98a96-18ed-f13c-8dee-db955fb94122/c86946e6-b392-2613-159d-aff5a3f095b3
Saída
O comando retorna a saída a seguir:
{
"request_id": "7a09ca14-6a7d-9ea2-2515-f7c22890f148",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"locks": [
{
"attributes": {
"key": "value"
},
"created_by": "iam-ServiceId-222b47ab-b08e-42c3acb8",
"creation_date": "2022-06-30T21:04:15.143896Z",
"description": "Test lock for secret in the custom secret group.",
"last_update_date": "2022-06-30T21:31:19.343086Z",
"name": "lock-for-app-1",
"secret_group_id": "d2e98a96-18ed-fb22",
"secret_id": "c86946e6-b392-2613-15095b3",
"secret_version_alias": "current",
"secret_version_id": "ad6aa6d9-b43c-4bc3-52e64"
}
],
"locks_total": 1
},
"warnings": null
}
Desbloquear um segredo
Use os seguintes comandos para remover um ou mais bloqueios na versão atual de um segredo.
Remover bloqueios em um segredo no grupo secreto padrão.
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/SECRET_ID/unlock locks=LOCK_NAME locks=LOCK_NAME
Remover bloqueios em um segredo em um grupo secreto personalizado.
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/groups/SECRET_GROUP_ID/SECRET_ID/unlock locks=LOCK_NAME locks=LOCK_NAME
Pré-requisitos
Você precisa da função de serviço Writer ou superior para criar bloqueios secretos.
Opções de comando
- -formato
- Imprime a saída no formato especificado. Os formatos válidos são
table
,json
eyaml
. O padrão étable
. Também é possível configurar o formato de saída usando a variável de ambienteVAULT_FORMAT
.
Exemplos
Remover bloqueios em um segredo no grupo secreto padrão.
vault write -format=json ibmcloud/username_password/locks/65e44d42-cfb6-a24f4490fa9/unlock locks=test-lock-1 locks=test-lock-2
Remover bloqueios em um segredo em um grupo secreto personalizado.
vault write -format=json ibmcloud/arbitrary/locks/groups/7a09ca14-6a7d-9ea2-2515-f7c22890f148/9ea2-2515-f7c22890f148/unlock locks=test-lock-1 locks=test-lock-2
Saída
O comando retorna a saída a seguir:
{
"request_id": "0ec52cf2-59867-184a9c977",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"secret_group_id": "default",
"secret_id": "65e44d42-cfb6-abe2-637d-2824f4490fa9",
"versions": [
{
"alias": "current",
"id": "6df7edfe-ea85-3d34-565f-0b66caaba832",
"locks": [],
"payload_available": true
}
]
},
"warnings": null
}