Vault CLI 命令
您可以使用 HashiCorp 保险库文件命令行界面 (CLI) 与 IBM Cloud® Secrets Manager进行交互。
Secrets Manager 使用 Vault,增加了对 IAM 方法的支持,并增加了一套秘密引擎,以支持 中各种秘密类型的操作。HashiCorp IBM Cloud auth Secrets Manager
开始之前,请 配置保险库文件 CLI,以便您能够使用保险库文件命令访问 Secrets Manager 实例。 要了解有关使用保险库文件 CLI 的更多信息,请查看 保险库文件文档。
登录
配置登录令牌
使用此命令可配置保险库文件登录令牌的生存时间 (TTL) 和生命周期 (MaxTTL)。
vault write auth/ibmcloud/manage/login [token_ttl=DURATION] [token_max_ttl=MAX_DURATION]
先决条件
您需要 管理者 服务角色 来管理登录令牌的配置。
命令选项
- 令牌_ttl
- 要生成的登录令牌的初始生存时间 (TTL)。 缺省值为
1h。 - token_max_ttl
- 登录令牌的最大生命周期。 缺省值为
24h。 此值不能超过保险库文件MaxLeaseTTL值。
示例
通过输入 30m (表示初始生存时间) 和 2h (表示最长生存时间) 来配置保险库文件登录令牌。
vault write auth/ibmcloud/manage/login token_ttl=30m token_max_ttl=2h
输出
此命令会返回以下输出:
Success! Data written to: auth/ibmcloud/manage/login
查看令牌的配置
使用此命令可查看保险库文件登录令牌的配置。
vault read [-format=FORMAT] auth/ibmcloud/manage/login
先决条件
您需要 管理者 服务角色 来管理登录令牌的配置。
命令选项
- -格式
- 以您指定的格式打印输出。 有效格式为
table,json和yaml。 缺省值为table。 您还可以使用VAULT_FORMAT环境变量来设置输出格式。
示例
查看 JSON 格式的保险库文件令牌的登录配置。
vault read -format=json auth/ibmcloud/manage/login
输出
此命令会返回以下输出:
{
"request_id": "4dec6b8a-a277-0755-617c-97e40bcc7c3e",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"login": {
"token_max_ttl": "2h0m0s",
"token_ttl": "30m0s"
}
},
"warnings": null
}
私钥组
创建私钥组
使用此命令创建一个秘密组。
vault write [-format=FORMAT] auth/ibmcloud/manage/groups name=NAME [description="DESCRIPTION"]
先决条件
您需要 管理者 服务角色 来创建密钥组。
命令选项
- 名称
- 要分配给私钥组的人类可读别名。 必需。
- 描述
- 对秘密小组的详细描述。
- -格式
- 以您指定的格式打印输出。 有效格式为
table,json和yaml。 缺省值为table。 您还可以使用VAULT_FORMAT环境变量来设置输出格式。
示例
创建具有名称和描述的私钥组。
vault write auth/ibmcloud/manage/groups name="my-secret-group" description="A group of secrets."
输出
此命令会返回以下输出:
Key Value
--- -----
created_at 2020-10-05T17:43:49Z
description A group of secrets.
id 9c6d20ad-779e-27c5-3842-2a20b19abfcf
name my-secret-group
type application/vnd.ibm.secrets-manager.secret.group+json
updated_at n/a
列出密钥组
使用此命令可列出在 Secrets Manager 实例时可用的密钥组。
vault read [-format=FORMAT] auth/ibmcloud/manage/groups
先决条件
您需要 读者 服务角色 来列出密钥组。
命令选项
- -格式
- 以您指定的格式打印输出。 有效格式为
table,json和yaml。 缺省值为table。 您还可以使用VAULT_FORMAT环境变量来设置输出格式。
示例
检索 JSON 格式的私钥组列表。
vault read -format=json auth/ibmcloud/manage/groups
输出
此命令会返回以下输出:
{
"request_id": "62051bde-9703-101c-a328-90a377a8bb77",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"groups": [
{
"created_at": "2020-10-05T17:43:49Z",
"description": "A group of secrets.",
"id": "9c6d20ad-779e-27c5-3842-2a20b19abfcf",
"name": "my-secret-group",
"type": "application/vnd.ibm.secrets-manager.secret.group+json",
"updated_at": ""
}
]
},
"warnings": null
}
获取私钥组
使用此命令可获取私钥组的详细信息。
vault read [-format=FORMAT] auth/ibmcloud/manage/groups/SECRET_GROUP_ID
先决条件
您需要 读者 服务角色 来获取私钥组的详细信息。
命令选项
- -格式
- 以您指定的格式打印输出。 有效格式为
table,json和yaml。 缺省值为table。 您还可以使用VAULT_FORMAT环境变量来设置输出格式。
示例
以 JSON 格式获取特定密钥组的详细信息。
vault read -format=json auth/ibmcloud/manage/groups/9c6d20ad-779e-27c5-3842-2a20b19abfcf
输出
此命令会返回以下输出:
{
"request_id": "ab6b22d9-8e42-d23f-31d8-a4865b5a40e7",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"created_at": "2020-10-05T17:43:49Z",
"description": "A group of secrets.",
"id": "9c6d20ad-779e-27c5-3842-2a20b19abfcf",
"name": "my-secret-group",
"type": "application/vnd.ibm.secrets-manager.secret.group+json",
"updated_at": ""
},
"warnings": null
}
更新私钥组
使用此命令更新秘密组。
vault write [-format=FORMAT] auth/ibmcloud/manage/groups/SECRET_GROUP_ID name=NAME [description="DESCRIPTION"]
先决条件
您需要 管理者 服务角色 来更新密钥组。
命令选项
- 名称
- 要分配给私钥组的人类可读别名。 必需。
- 描述
- 对秘密小组的详细描述。
- -格式
- 以您指定的格式打印输出。 有效格式为
table,json和yaml。 缺省值为table。 您还可以使用VAULT_FORMAT环境变量来设置输出格式。
示例
更新私钥组的名称和描述。
vault write auth/ibmcloud/manage/groups/9c6d20ad-779e-27c5-3842-2a20b19abfcf name="my-updated-secret-group" description="An updated group of secrets."
输出
此命令会返回以下输出:
Key Value
--- -----
created_at 2020-10-05T17:43:49Z
description An updated group of secrets.
id 9c6d20ad-779e-27c5-3842-2a20b19abfcf
name my-updated-secret-group
type application/vnd.ibm.secrets-manager.secret.group+json
updated_at 2020-10-05T17:56:56Z
删除私钥组
使用此命令删除一个秘密组。
vault delete auth/ibmcloud/manage/groups/SECRET_GROUP_ID
先决条件
您需要 管理者 服务角色 来删除私钥组。
示例
按指定的 ID 删除一个秘密组。
vault delete auth/ibmcloud/manage/groups/9c6d20ad-779e-27c5-3842-2a20b19abfcf
输出
此命令会返回以下输出:
Success! Data deleted (if it existed) at: auth/ibmcloud/manage/groups/9c6d20ad-779e-27c5-3842-2a20b19abfcf
静态私钥
创建密钥
使用以下命令将静态密钥 (例如用户凭证或任意密钥) 添加到 Secrets Manager 实例。 SECRET_TYPE 允许的值为: arbitrary,imported_cert,kv,private_cert,public_cert 和 username_password。
在 default 私钥组中创建私钥。
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets name=NAME [description="DESCRIPTION"] [username=USERNAME] [password=USERNAME] [payload=DATA] [expiration_date=EXPIRATION] [certificate=CERTIFICATE_DATA] [private_key=PRIVATE_KEY_DATA] [intermediate=INTERMEDIATE_CERTIFICATE_DATA] [ca=CA_CONFIGURATION_NAME] [dns=DNS_CONFIGURATION_NAME] [key_algorithm=KEY_ALGORITHM] [labels=LABEL,LABEL]
在指定的私钥组中创建私钥。
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets/groups/SECRET_GROUP_ID name=NAME [description="DESCRIPTION"] [username=USERNAME] [password=USERNAME] [payload=DATA] [expiration_date=EXPIRATION] [certificate=CERTIFICATE_DATA] [private_key=PRIVATE_KEY_DATA] [intermediate=INTERMEDIATE_CERTIFICATE_DATA] [ca=CA_CONFIGURATION_NAME] [dns=DNS_CONFIGURATION_NAME] [key_algorithm=KEY_ALGORITHM] [labels=LABEL,LABEL]
先决条件
您需要 写入者 服务角色 来创建私钥。
命令选项
- 名称
- 要分配给私钥的人类可读别名。 必需。
- 描述
- 要分配给私钥的扩展描述。
- 到期日期
- 要分配给私钥的截止日期。 支持
arbitrary和username_password私钥类型。 日期格式遵循 RFC 3339。 - 标签
- 可用于对实例中的类似私钥进行分组和搜索的标签。
- 有效内容 (payload)
- 要针对
arbitrary或kv私钥存储的数据。arbitrary私钥仅支持基于文本的有效内容。 键值私钥引擎可以以复杂的 JSON 格式存储私钥。 有了键值秘钥,您就可以集成与 HashiCorp Vault KV(第 2 版)CLI 命令兼容的工具。 了解有关使用保险库文件 CLI 管理密钥值私钥 的更多信息。 - 用户名
- 要分配给
username_password私钥的用户名。 - 密码
- 要分配给
username_password私钥的密码。 - 证书
- 要针对
imported_cert私钥存储的证书数据。 支持的文件类型为.pem。 - private_key
- 要为
imported_cert私钥存储的专用密钥数据。 支持的文件类型为.pem。 - 中
- 要针对
imported_cert私钥存储的中间证书数据。 支持的文件类型为.pem。 - ca
- 要用于订购
public_cert私钥的 认证中心配置。 - dns
- 要用于订购
public_cert私钥的 DNS 提供程序配置。 - key_algorithm
- 用于签署和发出
public_cert私钥的密钥算法。 允许的值包括:RSA2048,RSA4096,ECDSA256和ECDSA384 - 证书模板
- 要用于创建
private_cert私钥的 证书模板。 - common_name
- 要用于创建
private_cert私钥的公共名称。 根据您选择的证书模板,可能会对专用证书的公共名称应用一些限制。 - -格式
- 以您指定的格式打印输出。 有效格式为
table,json和yaml。 缺省值为table。 您还可以使用VAULT_FORMAT环境变量来设置输出格式。
示例
创建具有到期日期和两个标签的用户凭证。
vault write -format=json ibmcloud/username_password/secrets name="my-test-user-credential" expiration_date="2020-12-31T23:59:59Z" username="user123" password="window-steel-dogs-coffee" labels=label-1,label-2
创建具有到期日期和两个标签的任意私钥。
vault write -format=json ibmcloud/arbitrary/secrets name="my-test-arbitrary-secret" expiration_date="2020-12-31T23:59:59Z" payload="this is my secret data" labels=label-1,label-2
使用二进制有效内容创建任意私钥。
base64 -w0 <filename> | vault write ibmcloud/arbitrary/secrets name="my-test-arbitrary-secret" payload=- labels="encode:base64"
导入具有匹配专用密钥的 SSL/TLS 证书。
vault write -format=json ibmcloud/imported_cert/secrets name="my-test-imported-certificate" certificate=@cert.pem private_key=@key.pem
通过指定认证中心和 DNS 提供程序配置来订购公用 SSL/TLS 证书。
vault write -format=json ibmcloud/public_cert/secrets name="my-test-public-certificate" ca="my-configured-certificate-authority" dns="my-configured-dns-provider" common_name="example.com" key_algorithm=RSA2048
通过指定要使用的证书模板来创建专用 SSL/TLS 证书。
vault write -format=json ibmcloud/private_cert/secrets name="my-test-private-certificate" certificate_template="my-configured-certificate-template" common_name="example.com"
通过指定源服务实例 CRN 和 IAM 服务角色名称来创建一组服务凭证。
vault write -format=json ibmcloud/service_credentials/secrets name="test-sc-1" source_crn="crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc::" role="crn:v1:bluemix:public:iam::::serviceRole:Manager"
输出
用于创建 username_password 私钥的命令将返回以下输出:
{
"request_id": "c8edf459-cc26-d3f9-19e4-a24d899573f4",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-05T21:52:29Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:a6067f1c-98cf-9379-6188-a94a58222f5d",
"expiration_date": "2020-12-31T23:59:59Z",
"id": "a6067f1c-98cf-9379-6188-a94a58222f5d",
"labels": [
"label-1",
"label-2"
],
"last_update_date": "2020-10-05T21:52:29Z",
"name": "my-test-user-credential",
"secret_data": {
"password": "window-steel-dogs-coffee",
"username": "user123"
},
"secret_type": "USERNAME_PASSWORD",
"state": 1,
"state_description": "Active",
"versions": [
{
"auto_rotated": false,
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-05T21:52:29Z",
"id": "f53b8061-359e-3236-5bcc-fb120e170c87"
}
]
},
"warnings": null
}
用于创建 arbitrary 私钥的命令将返回以下输出:
{
"request_id": "56f8532d-cd2b-372c-7b14-5a5875d1c6e6",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-05T21:47:27Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:2ca56a3b-a6e8-d2e2-5377-b6559babfac0",
"expiration_date": "2020-12-31T23:59:59Z",
"id": "2ca56a3b-a6e8-d2e2-5377-b6559babfac0",
"labels": [
"label-1",
"label-2"
],
"last_update_date": "2020-10-05T21:47:27Z",
"name": "my-test-arbitrary-secret",
"secret_data": {
"payload": "this is my secret data"
},
"secret_type": "ARBITRARY",
"state": 1,
"state_description": "Active",
"versions": [
{
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-05T21:47:27Z",
"id": "88473a6c-4877-5079-f999-c9a39e3407ea"
}
]
},
"warnings": null
}
用于导入 imported_cert 私钥的命令将返回以下输出:
{
"request_id": "7b41ad30-8098-9f57-62cf-bd757d43238f",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"algorithm": "RSA",
"common_name": "example.com",
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2021-06-03T22:41:56Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:2ca56a3b-a6e8-d2e2-5377-b6559babfac0",
"expiration_date": "2021-06-04T15:25:44Z",
"id": "2ca56a3b-a6e8-d2e2-5377-b6559babfac0",
"intermediate_included": false,
"issuer": "US Texas Austin Example Corp. Example Org example.com",
"key_algorithm": "SHA256-RSA",
"labels": [],
"last_update_date": "2021-06-03T22:41:56Z",
"name": "my-test-imported-certificate",
"private_key_included": false,
"secret_type": "imported_cert",
"serial_number": "fc:22:29:7e:57:25:8a:05",
"state": 1,
"state_description": "Active",
"validity": {
"not_after": "2021-06-04T15:25:44Z",
"not_before": "2021-06-03T15:25:44Z"
},
"versions": [
{
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2021-06-03T22:41:56.354781389Z",
"expiration_date": "2021-06-04T15:25:44Z",
"id": "2fae17bf-106a-1c31-55d9-e642ee3803ae",
"serial_number": "fc:22:29:7e:57:25:8a:05",
"validity": {
"not_after": "2021-06-04T15:25:44Z",
"not_before": "2021-06-03T15:25:44Z"
}
}
]
},
"warnings": null
}
用于订购 public_cert 私钥的命令将返回以下输出:
{
"request_id": "64824dec-c53e-8e49-dbe7-6c44c0dcd7a0",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"alt_names": [],
"common_name": "example.com",
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2021-10-08T03:25:51Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:2ca56a3b-a6e8-d2e2-5377-b6559babfac0",
"downloaded": false,
"id": "2c08d55d-1854-4dbd-9c25-bcd26828fe77",
"issuance_info": {
"auto_rotated": false,
"bundle_certs": true,
"ca": "my-configured-certificate-authority",
"dns": "my-configured-dns-provider",
"ordered_on": "2021-10-08T03:25:51Z",
"state": 0,
"state_description": "Pre-activation"
},
"key_algorithm": "RSA2048",
"labels": [],
"last_update_date": "2021-10-08T03:25:51Z",
"name": "my-test-public-certificate",
"rotation": {
"auto_rotate": false,
"rotate_keys": false
},
"secret_type": "public_cert",
"state": 0,
"state_description": "Pre-activation",
"versions": [],
"versions_total": 1
},
"warnings": null
}
用于创建 private_cert 私钥的命令将返回以下输出:
{
"request_id": "7c72b7a6-0342-508a-1684-9625e11555db",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"algorithm": "SHA256-RSA",
"alt_names": [
"example.com"
],
"certificate_authority": "my-configured-intermediate-ca",
"certificate_template": "my-configured-template",
"common_name": "example.com",
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2022-05-03T18:18:43Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:2ca56a3b-a6e8-d2e2-5377-b6559babfac0",
"downloaded": true,
"expiration_date": "2022-06-04T18:18:43Z",
"id": "2c08d55d-1854-4dbd-9c25-bcd26828fe77",
"issuer": "example.com",
"key_algorithm": "RSA2048",
"labels": [],
"last_update_date": "2022-05-03T18:18:43Z",
"name": "my-test-private-certificate",
"rotation": {
"auto_rotate": false
},
"secret_data": {
"ca_chain": [
"-----BEGIN CERTIFICATE-----\nMIIGZjCCBU6gAwIBAgIUHTgL...(truncated)"
],
"certificate": "-----BEGIN CERTIFICATE-----\nMIIDJDCCAgygAwIBAgIUarx9...(truncated)",
"issuing_ca": "-----BEGIN CERTIFICATE-----\nMIIGZjCCBU6gAwIBAgIUHTgLW...(truncated)",
"private_key": "-----BEGIN RSA PRIVATE KEY-----\nMIIEpAIBAAKCAQEAtirEhptl3...(truncated)"
},
"secret_type": "private_cert",
"serial_number": "6a:bc:7d:63:2a:7c:60:90:00:53:d9:ae:83:b2:1d:bc:97:ae:fb:f1",
"state": 1,
"state_description": "Active",
"validity": {
"not_after": "2022-06-04T18:18:43Z",
"not_before": "2022-05-03T18:18:14Z"
},
"versions": [
{
"auto_rotated": false,
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2022-05-03T18:18:14Z",
"downloaded": true,
"expiration_date": "2022-06-04T18:18:43Z",
"id": "2c08d55d-1854-4dbd-9c25-bcd26828fe77",
"payload_available": true,
"serial_number": "6a:bc:7d:63:2a:7c:60:90:00:53:d9:ae:83:b2:1d:bc:97:ae:fb:f1",
"state": 1,
"state_description": "Active",
"validity": {
"not_after": "2022-06-04T18:18:43Z",
"not_before": "2022-05-03T18:18:14Z"
}
}
],
"versions_total": 1
},
"warnings": null
}
用于创建 service-credentials 私钥的命令将返回以下输出:
{
"request_id": "13ee6f56-c91f-180c-8fc1-b4da6ac2817f",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"created_by": "IBMid-2700062DAH",
"creation_date": "2023-11-23T08:27:15Z",
"crn": "crn:v1:staging:public:secrets-manager:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:e2c32ad4-1414-41e0-8747-e107e6b9f8d6:secret:3c89e3ed-31fb-06f7-387b-c972213c89ee",
"custom_metadata": {},
"downloaded": true,
"iam_apikey_description": "Auto-generated for key crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675bc:resource-key:ada7d881-1af3-484c-8e79-4e071d9e1a7d",
"iam_apikey_id": "ApiKey-df88649d-5198-4ca5-884f-856a1b83031a",
"iam_apikey_name": "test-sc-1",
"iam_role_crn": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
"iam_serviceid_crn": "crn:v1:staging:public:iam-identity::a/826aa2b9cab6c666477fc55ebc47bafc::serviceid:ServiceId-40052fad-55a4-4090-ab9e-64877964a3bc",
"id": "3c89e3ed-31fb-06f7-387b-c972213c89be",
"labels": [],
"last_update_date": "2023-11-23T08:27:15Z",
"locks_total": 0,
"name": "test-sc-1",
"parameters": {},
"resource_key_crn": "crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc:resource-key:ada7d881-1af3-484c-8e79-4e071d9e1a7e",
"resource_key_name": "test-sc-1",
"role": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
"secret_data": {
"apikey": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
"guid": "f85409e9-1a06-47d5-8320-95ed4e1675bc",
"iam_apikey_description": "Auto-generated for key crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc:resource-key:ada7d881-1af3-484c-8e79-4e071d9e1a7e",
"iam_apikey_id": "ApiKey-df88649d-5198-4ca5-884f-856a1b83031a",
"iam_apikey_name": "test-sc-1",
"iam_role_crn": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
"iam_serviceid_crn": "crn:v1:staging:public:iam-identity::a/826aa2b9cab6c666477fc55ebc47bafc::serviceid:ServiceId-40052fad-55a4-4090-ab9e-64877964a3cc",
"instance_id": "f85409e9-1a06-47d5-8320-95ed4e1675cc",
"plan": "33b50df2-9cd6-4005-a941-bf0a59f0d183",
"region": "us-south"
},
"secret_type": "service_credentials",
"source_crn": "crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc::",
"state": 1,
"state_description": "Active",
"ttl": 0,
"versions": [
{
"created_by": "IBMid-3242342DAH",
"creation_date": "2023-11-23T08:27:15Z",
"downloaded": true,
"id": "34f934a3-def7-71e0-cc93-9c754879f2f8",
"payload_available": true,
"version_custom_metadata": {}
}
],
"versions_total": 1
},
"warnings": null
}
列出私钥
使用以下命令列出 Secrets Manager 实例中的静态机密。 的允许值为 SECRET_TYPE 的允许值为 arbitrary, iam_credentials, imported_cert, kv, private_cert, public_cert,
service_credentials, custom_credentials,和 username_password。
按类型列出私钥。
vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets
按私钥组列出私钥。
vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets/groups/ID
先决条件
您需要 读者 服务角色 来列出私钥。
命令选项
- -格式
- 以您指定的格式打印输出。 有效格式为
table,json和yaml。 缺省值为table。 您还可以使用VAULT_FORMAT环境变量来设置输出格式。
示例
在 default 私钥组中检索可用用户凭证私钥的列表。
vault read -format=json ibmcloud/username_password/secrets
检索分配给指定私钥组的任意私钥的列表。
vault read -format=json ibmcloud/arbitrary/secrets/groups/9ab2250f-a369-4e07-ade7-d417d63ad587
输出
此命令会返回以下输出:
{
"request_id": "65689e3a-7cc6-990e-4f0e-8480edd244ed",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"secrets": [
{
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-06T05:31:05Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:1cf95413-4c10-a5fa-e824-b5106375b129",
"expiration_date": "2020-12-31T23:59:59Z",
"id": "1cf95413-4c10-a5fa-e824-b5106375b129",
"labels": [],
"last_update_date": "2020-10-06T05:31:05Z",
"name": "my-test-arbitrary-secret",
"secret_group_id": "9ab2250f-a369-4e07-ade7-d417d63ad587",
"secret_type": "ARBITRARY",
"state": 1,
"state_description": "Active"
},
{
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-06T03:54:26Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:285d83ce-4a26-c5c3-8e58-48d3140a2415",
"id": "285d83ce-4a26-c5c3-8e58-48d3140a2415",
"labels": [],
"last_update_date": "2020-10-06T03:54:26Z",
"name": "another-test-arbitrary-secret",
"secret_group_id": "9ab2250f-a369-4e07-ade7-d417d63ad587",
"secret_type": "ARBITRARY",
"state": 1,
"state_description": "Active"
}
],
"secrets_total": 2
},
"warnings": null
}
如果私钥属于私钥组,那么将在响应中包含 data.secrets.secret_group_id 值以标识私钥组分配。
获取私钥
使用以下命令来检索私钥及其详细信息。 的允许值为 SECRET_TYPE 的允许值为 arbitrary, iam_credentials, imported_cert, kv, private_cert, public_cert, service_credentials,
custom_credentials,和 username_password。 可以使用私钥标识或私钥名称来检索私钥。
获取私钥。
vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets/SECRET_ID_OR_SECRET_NAME
获取分配给指定私钥组的私钥。
vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets/groups/SECRET_GROUP_ID/SECRET_ID_OR_SECRET_NAME
先决条件
您需要 SecretsReader 或 Writer 服务角色 来检索私钥。
命令选项
- -格式
- 以您指定的格式打印输出。 有效格式为
table,json和yaml。 缺省值为table。 您还可以使用VAULT_FORMAT环境变量来设置输出格式。
示例
检索任意私钥,包括其有效内容。
按私钥标识检索
vault read -format=json ibmcloud/arbitrary/secrets/71539dff-9e84-804a-debb-ab3eb3d8afce
按私钥名称检索
vault read -format=json ibmcloud/arbitrary/secrets/my-test-arbitrary-secret
输出
此命令会返回以下输出:
{
"request_id": "025df8ac-b926-6153-3f5b-cd2364b5f85e",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-20T16:55:41Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:71539dff-9e84-804a-debb-ab3eb3d8afce",
"id": "71539dff-9e84-804a-debb-ab3eb3d8afce",
"labels": [],
"last_update_date": "2020-10-20T16:55:41Z",
"name": "my-test-arbitrary-secret",
"secret_data": {
"payload": "This is the data for my secret."
},
"secret_type": "ARBITRARY",
"state": 1,
"state_description": "Active",
"versions": [
{
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-20T16:55:41Z",
"id": "cc2c795e-0072-8074-9824-b6efd5050232"
}
]
},
"warnings": null
}
更新私钥
使用此命令更新秘密的元数据,如名称或描述。 的允许值为 SECRET_TYPE 的允许值为 arbitrary, iam_credentials, imported_cert, kv, private_cert, public_cert, service_credentials,
custom_credentials,和 username_password。
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets/SECRET_ID/metadata name=NAME [description="DESCRIPTION"][expiration_date=EXPIRATION] [labels=LABEL,LABEL]
先决条件
您需要 写入者 服务角色 来更新私钥。
命令选项
- 名称
- 要分配给私钥的人类可读别名。
- 描述
- 要分配给私钥的扩展描述。
- 到期日期
- 要分配给私钥的截止日期。 日期格式遵循 RFC 3339。
- 标签
- 可用于对实例中的类似私钥进行分组和搜索的标签。
- -格式
- 以您指定的格式打印输出。 有效格式为
table,json和yaml。 缺省值为table。 您还可以使用VAULT_FORMAT环境变量来设置输出格式。
示例
更新任意私钥的名称。
vault write -format=json ibmcloud/arbitrary/secrets/fe874c2b-e8fd-bbb6-9f19-e91bbe744735/metadata name="updated-name-arbitrary-secret"
更新服务凭证私钥的名称。
vault write -format=json ibmcloud/service_credentials/secrets/3c89e3ed-31fb-06f7-387b-c972213c89be/metadata name="updated-name-sc-secret"
输出
任意命令返回以下输出结果:
{
"request_id": "f361132f-a0e3-eab0-52b8-4d992074b411",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-22T14:26:44Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:fe874c2b-e8fd-bbb6-9f19-e91bbe744735",
"id": "fe874c2b-e8fd-bbb6-9f19-e91bbe744735",
"labels": [],
"last_update_date": "2020-10-22T14:54:25Z",
"name": "updated-name-arbitrary-secret",
"secret_type": "ARBITRARY",
"state": 1,
"state_description": "Active"
},
"warnings": null
}
服务证书命令返回以下输出结果:
{
{
"request_id": "62f4f088-0588-51ec-3389-da83b4c34a6a",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"created_by": "IBMid-2723462DAH",
"creation_date": "2023-11-23T08:27:15Z",
"crn": "crn:v1:staging:public:secrets-manager:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:e2c32ad4-1414-41e0-8747-e107e6b9f8e6:secret:3c89e3ed-31fb-06f7-387b-c972213c89be",
"custom_metadata": {},
"downloaded": false,
"iam_apikey_description": "Auto-generated for key crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc:resource-key:ada7d881-1af3-484c-8e79-4e071d9e1a7e",
"iam_apikey_id": "ApiKey-df88649d-5198-4ca5-884f-856a1b83031a",
"iam_apikey_name": "test-sc-1",
"iam_role_crn": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
"iam_serviceid_crn": "crn:v1:staging:public:iam-identity::a/826aa2b9cab6c666477fc55ebc47bafc::serviceid:ServiceId-40052fad-55a4-4090-ab9e-64877964a3ac",
"id": "3c89e3ed-31fb-06f7-387b-c972213c89be",
"labels": [],
"last_update_date": "2023-11-23T08:48:20Z",
"locks_total": 0,
"name": "updated-name-sc-secret",
"parameters": {},
"resource_key_crn": "crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc:resource-key:ada7d881-1af3-484c-8e79-4e071d9e1a7e",
"resource_key_name": "test-sc-1",
"role": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
"secret_type": "service_credentials",
"source_crn": "crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc::",
"state": 1,
"state_description": "Active",
"ttl": 0,
"versions_total": 2
},
"warnings": null
}
更新私钥版本
使用此命令可更新特定版本的私钥。
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/secrets/SECRET_ID/versionins/VERSION_ID/metadata
{
"version_custom_metadata": {
"metadata_custom_key": "metadata_custom_value"
}
}
示例
vault write -format=json ibmcloud/service_credentials/secrets/1a3f9fbc-58d4-ac68-7984-f422d8b8112a/versions/38a361c8-51a2-6fc4-1ed8-d59747db5847/metadata
{
"version_custom_metadata": {
"metadata_custom_key": "metadata_custom_value"
}
}
{ :pre}
输出
{
"request_id": "8a395155-01eb-be57-e73d-53a9bbe09139",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"auto_rotated": false,
"created_by": "IBMid-2723462DAH",
"creation_date": "2023-11-23T10:19:45Z",
"crn": "crn:v1:staging:public:secrets-manager:us-south:a/826aa2b9cab6c666477fc55ebc47bafd:e2c32ad4-1414-41e0-8747-e107e6b9f8d7:secret:1a3f9fbc-58d4-ac68-7984-f422d8b8112a",
"expiration_date": "2023-12-03T10:19:45Z",
"id": "1a3f9fbc-58d4-ac68-7984-f422d8b8112a",
"payload_available": true,
"resource_key_crn": "crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafd:f85409e9-1a06-47d5-8320-95ed4e1675bd:resource-key:496acdc2-792c-4425-8172-32fcd5cddaca",
"resource_key_name": "test-sc-1",
"version_custom_metadata": {
"metadata_custom_key": "metadata_custom_value"
},
"version_id": "38a361c8-51a2-6fc4-1ed8-d59747db5847"
},
"warnings": null
}
轮换私钥
使用此命令可轮换私钥。 的允许值为 SECRET_TYPE 的允许值为 arbitrary, iam_credentials, imported_cert, kv, private_cert, public_cert, service_credentials,
custom_credentials,和 username_password。
vault write [-format=FORMAT] [-force] ibmcloud/SECRET_TYPE/secrets/SECRET_ID/rotate [payload="SECRET_DATA"] [password=PASSWORD] [certificate=CERTIFICATE_DATA] [private_key=PRIVATE_KEY_DATA] [intermediate=INTERMEDIATE_CERTIFICATE_DATA]
先决条件
您需要 写程序 服务角色 来轮换私钥。
命令选项
- 有效内容 (payload)
- 要为
arbitrary私钥存储的新数据。 仅支持基于文本的有效内容。 如果需要存储二进制文件,请确保在将其保存到 Secrets Manager之前对其进行 base64 编码。 有关更多信息,请参阅 示例。 - 密码
- 要分配给
username_password私钥的新密码。 - 证书
- 要为
imported_cert私钥存储的新证书数据。 支持的文件类型为.pem。 - private_key
- 要为
imported_cert私钥存储的新专用密钥数据。 支持的文件类型为.pem。 - 中
- 要针对
imported_cert私钥存储的新中间证书数据。 支持的文件类型为.pem。 - -格式
- 以您指定的格式打印输出。 有效格式为
table,json和yaml。 缺省值为table。 您还可以使用VAULT_FORMAT环境变量来设置输出格式。 - -force
- 将为
username_password私钥存储的密码替换为随机生成的 32 个字符的密码,该密码包含大写字母,小写字母,数字和符号。
示例
手动轮换为任意私钥存储的私钥数据。
vault write -format=json ibmcloud/arbitrary/secrets/fe874c2b-e8fd-bbb6-9f19-e91bbe744735/rotate payload="Updated secret data."
手动轮换为 username_password 私钥存储的密码。
vault write -format=json ibmcloud/username_password/secrets/cb32abc1-2a4b-e0fd-f403-233e5249e130/rotate password="my-updated-password"
将为 username_password 私钥存储的密码替换为随机生成的 32 个字符的密码。
vault write -format=json -force ibmcloud/username_password/secrets/cb32abc1-2a4b-e0fd-f403-233e5249e130/rotate
轮换一组服务证书。
vault write -format=json -force ibmcloud/service_credentials/secrets/3c89e3ed-31fb-06f7-387b-c972213c89be/rotate
输出
使用用户提供的密码手动轮换 username_password 私钥的命令将返回以下输出:
{
"request_id": "9cb258e5-fbc9-7a37-f8c9-c5ab1dd7b823",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-22T15:09:19Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:cb32abc1-2a4b-e0fd-f403-233e5249e130",
"id": "cb32abc1-2a4b-e0fd-f403-233e5249e130",
"labels": [],
"last_update_date": "2020-10-22T15:10:34Z",
"name": "new-username-password",
"secret_data": {
"password": "my-updated-password",
"username": "my-username"
},
"secret_type": "USERNAME_PASSWORD",
"state": 1,
"state_description": "Active"
},
"warnings": null
}
使用服务生成的密码手动轮换 username_password 密钥的命令将返回以下输出:
{
"request_id": "67992946-3fd7-8cbe-9464-f5bc0cc8254e",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-22T15:09:19Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:cb32abc1-2a4b-e0fd-f403-233e5249e130",
"id": "cb32abc1-2a4b-e0fd-f403-233e5249e130",
"labels": [],
"last_update_date": "2020-10-22T16:25:55Z",
"name": "new-username-password",
"secret_data": {
"password": "TYRodi/HX7s095UpQ38)L1z(t4\u003ccG6!2",
"username": "my-username"
},
"secret_type": "USERNAME_PASSWORD",
"state": 1,
"state_description": "Active"
},
"warnings": null
}
用于手动轮换一组服务凭证的命令将返回以下输出:
{
"request_id": "6adeab90-93a3-79eb-24eb-ae6f1c6856dc",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"created_by": "IBMid-2734562DAH",
"creation_date": "2023-11-23T08:27:15Z",
"crn": "crn:v1:staging:public:secrets-manager:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:e2c32ad4-1414-41e0-8747-e107e6b9f8d6:secret:3c89e3ed-31fb-06f7-387b-c972213c89ee",
"custom_metadata": {},
"downloaded": false,
"iam_apikey_description": "Auto-generated for key crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc:resource-key:ada7d881-1af3-484c-8e79-4e071d9e1a7e",
"iam_apikey_id": "ApiKey-df88649d-5198-4ca5-884f-856a1b83031a",
"iam_apikey_name": "test-sc-1",
"iam_role_crn": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
"iam_serviceid_crn": "crn:v1:staging:public:iam-identity::a/826aa2b9cab6c666477fc55ebc47bacc::serviceid:ServiceId-40052fad-55a4-4090-ab9e-64877964a3ac",
"id": "3c89e3ed-31fb-06f7-387b-c972213c89be",
"labels": [],
"last_update_date": "2023-11-23T08:48:20Z",
"locks_total": 0,
"name": "test-sc-1",
"parameters": {},
"resource_key_crn": "crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc:resource-key:ada7d881-1af3-484c-8e79-4e071d9e1a7e",
"resource_key_name": "test-sc-1",
"role": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
"secret_data": {
"apikey": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
"guid": "f85409e9-1a06-47d5-8320-95ed4e1675bc",
"iam_apikey_description": "Auto-generated for key crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc:resource-key:48d0d690-7095-4e91-b267-bb8f4e7cc1e7",
"iam_apikey_id": "ApiKey-7a2311a5-d071-4d4f-b511-f1182e5e9849",
"iam_apikey_name": "test-sc-1",
"iam_serviceid_crn": "crn:v1:staging:public:iam-identity::a/826aa2b9cab6c666477fc55ebc47bacc::serviceid:ServiceId-40052fad-55a4-4090-ab9e-64877964a3ac",
"instance_id": "f85409e9-1a06-47d5-8320-95ed4e1675cc",
"plan": "33b50df2-9cd6-4005-a941-bf0a59f0d133",
"region": "us-south"
},
"secret_type": "service_credentials",
"source_crn": "crn:v1:staging:public:event-notifications:us-south:a/826aa2b9cab6c666477fc55ebc47bafc:f85409e9-1a06-47d5-8320-95ed4e1675cc::",
"state": 1,
"state_description": "Active",
"ttl": 0,
"versions": [
{
"created_by": "IBMid-2723462DAH",
"creation_date": "2023-11-23T08:27:15Z",
"downloaded": true,
"id": "34f934a3-def7-71e0-cc93-9c754879f2f8",
"payload_available": true,
"version_custom_metadata": {}
},
{
"created_by": "IBMid-2723462DAH",
"creation_date": "2023-11-23T08:48:20Z",
"downloaded": false,
"id": "1449cd40-dd18-5f68-7719-7a08a9f8e57d",
"payload_available": true,
"version_custom_metadata": {}
}
],
"versions_total": 2
},
"warnings": null
}
删除私钥
使用此命令删除保密信息。 的允许值为 SECRET_TYPE 的允许值为 arbitrary, iam_credentials, imported_cert, kv, private_cert, public_cert, service_credentials,
custom_credentials,和 username_password。
删除 default 私钥组中的私钥。
vault delete ibmcloud/SECRET_TYPE/secrets/SECRET_ID
删除现有密钥组中的密钥。
vault delete ibmcloud/SECRET_TYPE/secrets/groups/SECRET_GROUP_ID/SECRET_ID
先决条件
您需要 管理者 服务角色 来删除私钥。
命令选项
- -格式
- 以您指定的格式打印输出。 有效格式为
table,json和yaml。 缺省值为table。 您还可以使用VAULT_FORMAT环境变量来设置输出格式。
示例
按其分配的标识删除任意私钥。
vault delete ibmcloud/arbitrary/secrets/d26702aa-77ae-400e-4f25-9790a9cabf9c
输出
此命令会返回以下输出:
Success! Data deleted (if it existed) at: ibmcloud/arbitrary/secrets/d26702aa-77ae-400e-4f25-9790a9cabf9c
动态私钥
动态机密是一次性凭证,只有在读取或访问时才会生成。
要使用 Vault CLI 创建动态私钥,请使用 role 命令在 IBM Cloud 帐户中使用所需的许可权级别来限定该私钥的作用域。 然后,使用 creds 命令为角色生成凭证。
创建角色
使用以下命令为 支持动态私钥的私钥引擎 注册角色。 创建角色后,可以为其 生成凭证。 您为角色定义的配置 (例如其名称,租赁持续时间和访问许可权) 由生成的凭证继承。
在 default 私钥组中创建角色。
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/roles/ROLE_NAME access_groups=ACCESS_GROUP_ID,ACCESS_GROUP_ID ttl=LEASE_DURATION [description="DESCRIPTION"] [labels=LABEL,LABEL]
在指定的私钥组中创建角色。
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/roles/groups/SECRET_GROUP_ID/ROLE_NAME access_groups=ACCESS_GROUP_ID,ACCESS_GROUP_ID ttl=LEASE_DURATION [description="DESCRIPTION"] [labels=LABEL,LABEL]
先决条件
您需要 写入者 服务角色 来创建私钥。
命令选项
- 密钥类型
- 您想要创建的秘密类型。 目前支持
iam_credentials。 - 密钥组标识
- 要分配给角色及其凭证的私钥组的标识。
- ROLE_NAME
- 要分配给角色及其凭证的人类可读别名。
- 访问组
- 用于确定要分配给角色及其凭证的访问权范围的访问组的标识。
- ttl
- 用于确定角色的生成凭证可存在的时间长度的生存时间 (TTL)。 使用持续时间字符串,例如
300s或1h30m。 有效时间单位为s,m和h。 - 描述
- 要分配给角色及其凭证的扩展描述。
- 标签
- 可用于对实例中的类似私钥进行分组和搜索的标签。
- -格式
- 以您指定的格式打印输出。 有效格式为
table,json和yaml。 缺省值为table。 您还可以使用VAULT_FORMAT环境变量来设置输出格式。
示例
配置租赁持续时间为 1 小时的 IAM 凭证,并将其分配给 default 私钥组。
vault write -format=json ibmcloud/iam_credentials/roles/test-iam-credentials access_groups=AccessGroupId-985dc0a3-857b-48bd-b6d6-33819da7ba42 ttl=1h description="My test IAM credential." labels=test,us-south
配置租赁持续时间为 1 小时的 IAM 凭证,并将其分配给指定的密钥组。
vault write -format=json ibmcloud/iam_credentials/roles/groups/9ab2250f-a369-4e07-ade7-d417d63ad587/test-iam-credential-in-group access_groups=AccessGroupId-985dc0a3-857b-48bd-b6d6-33819da7ba42 ttl=1h description="My test IAM credential that is assigned to a secret group." labels=test,us-south
输出
此命令会返回以下输出:
{
"request_id": "d4150a28-1184-8864-dcd3-15b0d18da7c1",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"access_groups": [
"AccessGroupId-985dc0a3-857b-48bd-b6d6-33819da7ba42"
],
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-09T17:13:47Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e::",
"description": "My test IAM credential that is assigned to a secret group.",
"id": "091ca93f-5c99-4078-9d7e-4801143030fd",
"labels": [
"test",
"us-south"
],
"last_update_date": "2020-10-09T17:13:47Z",
"name": "test-iam-credential-in-group",
"secret_group_id": "9ab2250f-a369-4e07-ade7-d417d63ad587",
"secret_type": "IAM_CREDENTIALS",
"state": 1,
"state_description": "Active",
"ttl": 3600
},
"warnings": null
}
如果在私钥组中创建角色,那么将在响应中包含 data.secret_group_id 值以标识私钥组分配。
生成 IAM 凭证
使用以下命令为角色生成 API 密钥。 此命令将创建服务标识,将服务标识添加到您为角色配置的访问组,然后为服务标识生成 API 密钥。
为 default 私钥组中的角色生成 API 密钥。
vault read [-format=FORMAT] ibmcloud/iam_credentials/creds/ROLE_ID
为指定密钥组中的角色生成 API 密钥。
vault read [-format=FORMAT] ibmcloud/iam_credentials/creds/groups/SECRET_GROUP_ID/ROLE_ID
生成的 API 密钥可更新,并且具有由角色或系统缺省值定义的生存时间 (TTL)。
先决条件
您需要 写入者 服务角色 来创建私钥。
命令选项
- 密钥组标识
- 要分配给此私钥的私钥组的标识。
- role_id
- 分配给此私钥的角色的标识或名称。
- -格式
- 以您指定的格式打印输出。 有效格式为
table,json和yaml。 缺省值为table。 您还可以使用VAULT_FORMAT环境变量来设置输出格式。
示例
为分配给 default 私钥组的私钥生成 IAM 凭证。
vault read -format=json ibmcloud/iam_credentials/creds/test-iam-credentials
为分配给指定私钥组的私钥生成 IAM 凭证。
vault read -format=json ibmcloud/iam_credentials/creds/groups/9ab2250f-a369-4e07-ade7-d417d63ad587/test-iam-credential-in-group
输出
此命令会返回以下输出:
{
"request_id": "48d14d52-ce92-6efc-aeaa-b49cc11eabd6",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"access_groups": [
"AccessGroupId-985dc0a3-857b-48bd-b6d6-33819da7ba42"
],
"api_key": "Cg7l3kJveurEry_P7_fLPIBR....(truncated)",
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-09T17:13:47Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e::",
"description": "My test IAM credential that is assigned to a secret group.",
"id": "091ca93f-5c99-4078-9d7e-4801143030fd",
"labels": [
"test",
"us-south"
],
"last_update_date": "2020-10-09T17:53:23Z",
"name": "test-iam-credential-in-group",
"secret_group_id": "9ab2250f-a369-4e07-ade7-d417d63ad587",
"secret_type": "IAM_CREDENTIALS",
"service_id": "ServiceId-ae06783c-0ab4-4b02-a78a-8dff7d0634c6",
"state": 1,
"state_description": "Active",
"ttl": 3600
},
"warnings": null
}
如果角色属于私钥组,那么响应中将包含 data.secret_group_id 值以标识私钥组分配。
列出角色
使用以下命令列出 Secrets Manager 实例中的角色或私钥。
按类型列出角色。
vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/roles
按私钥组标识列出角色。
vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/roles/groups/SECRET_GROUP_ID
先决条件
您需要 读者 服务角色 来列出私钥。
命令选项
- 密钥类型
- 您要列出的秘密类型。 目前支持
iam_credentials。 - 密钥组标识
- 密钥组标识。
- -格式
- 以您指定的格式打印输出。 有效格式为
table,json和yaml。 缺省值为table。 您还可以使用VAULT_FORMAT环境变量来设置输出格式。
示例
检索 IAM 凭证列表。
vault read -format=json ibmcloud/iam_credentials/roles
检索属于指定密钥组的 IAM 凭证的列表。
vault read -format=json ibmcloud/iam_credentials/roles/groups/9ab2250f-a369-4e07-ade7-d417d63ad587
输出
此命令会返回以下输出:
{
"request_id": "d567207f-b5e6-fc35-086e-fbc465bf3678",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"roles": [
{
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-09T17:13:47Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e::",
"description": "My test IAM credential that is assigned to a secret group.",
"id": "091ca93f-5c99-4078-9d7e-4801143030fd",
"labels": [
"test",
"us-south"
],
"last_update_date": "2020-10-09T17:13:47Z",
"name": "test-iam-credential-in-group",
"secret_group_id": "9ab2250f-a369-4e07-ade7-d417d63ad587",
"secret_type": "IAM_CREDENTIALS",
"state": 1,
"state_description": "Active",
"ttl": 3600
},
{
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-09T17:05:21Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e:secret:a810998d-2912-4865-b4da-8dcc7465d784",
"description": "My test IAM credential.",
"id": "a810998d-2912-4865-b4da-8dcc7465d784",
"labels": [
"test",
"us-south"
],
"last_update_date": "2020-10-09T17:05:21Z",
"name": "test-iam-credentials",
"secret_type": "IAM_CREDENTIALS",
"state": 1,
"state_description": "Active",
"ttl": 3600
}
],
"roles_total": 2
},
"warnings": null
}
如果角色属于私钥组,那么响应中将包含 roles.data.secret_group_id 值以标识私钥组分配。
读取角色的元数据
使用以下命令可查看有关已注册角色或私钥的详细信息,例如其名称和历史记录。
查看角色详情。
vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/roles/ROLE_ID/metadata
查看分配给私钥组的角色的详细信息。
vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/roles/groups/GROUP_ID/ROLE/metadata
先决条件
您需要 读者 服务角色 来查看私钥的元数据。
命令选项
- 密钥类型
- 您要查看的秘密类型。 目前支持
iam_credentials。 - 密钥组标识
- 分配给角色的私钥组的标识及其凭证
- role_id
- 分配给此私钥的角色的标识。
- -格式
- 以您指定的格式打印输出。 有效格式为
table,json和yaml。 缺省值为table。 您还可以使用VAULT_FORMAT环境变量来设置输出格式。
示例
查看分配给私钥组的角色的详细信息。
vault read -format=json ibmcloud/iam_credentials/roles/groups/9ab2250f-a369-4e07-ade7-d417d63ad587/091ca93f-5c99-4078-9d7e-4801143030fd/metadata
输出
此命令会返回以下输出:
{
"request_id": "cb4672e2-51d9-3a83-f8a2-717afe16e24a",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"access_groups": [
"AccessGroupId-985dc0a3-857b-48bd-b6d6-33819da7ba42"
],
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-09T17:13:47Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e::",
"description": "My test IAM credential that is assigned to a secret group.",
"id": "091ca93f-5c99-4078-9d7e-4801143030fd",
"labels": [
"test",
"us-south"
],
"last_update_date": "2020-10-09T17:13:47Z",
"name": "test-iam-credential-in-group",
"secret_group_id": "9ab2250f-a369-4e07-ade7-d417d63ad587",
"secret_type": "IAM_CREDENTIALS",
"state": 1,
"state_description": "Active",
"ttl": 3600
},
"warnings": null
}
更新角色的元数据
使用以下命令可查看有关已注册角色或私钥的详细信息,例如其名称和历史记录。
更新 default 私钥组中角色的详细信息。
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/roles/ROLE_ID/metadata [name="ROLE_NAME"] [access_groups=ACCESS_GROUP_ID,ACCESS_GROUP_ID] [ttl=LEASE_DURATION] [description="DESCRIPTION"] [labels=LABEL,LABEL]
更新分配给私钥组的角色的详细信息。
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/roles/groups/SECRET_GROUP_ID/ROLE_ID/metadata [name="ROLE_NAME"] [access_groups=ACCESS_GROUP_ID,ACCESS_GROUP_ID] [ttl=LEASE_DURATION] [description="DESCRIPTION"] [labels=LABEL,LABEL]
先决条件
您需要 写入者 服务角色 来更新私钥的元数据。
命令选项
- 密钥类型
- 要更新的机密类型。 目前支持
iam_credentials。 - 密钥组标识
- 分配给角色的私钥组的标识及其凭证。
- role_id
- 分配给此私钥的标识。
- 访问组
- 用于确定要分配给角色及其凭证的访问权范围的访问组的标识。
- ttl
- 生存时间 (TTL),用于确定角色生成的凭证可以存在的时间长度。 使用持续时间字符串,例如
300s或1h30m。 有效时间单位为s,m和h。 - 名称
- 要为此私钥指定的新名称。
- 描述
- 要分配给角色及其凭证的扩展描述。
- 标签
- 可用于对实例中的类似私钥进行分组和搜索的标签。
- -格式
- 以您指定的格式打印输出。 有效格式为
table,json和yaml。 缺省值为table。 您还可以使用VAULT_FORMAT环境变量来设置输出格式。
示例
更新分配给 default 组的角色的详细信息。
vault write -format=json ibmcloud/iam_credentials/roles/091ca93f-5c99-4078-9d7e-4801143030fd/metadata name="new-credential-name"
输出
此命令会返回以下输出:
{
"request_id": "cb4672e2-51d9-3a83-f8a2-717afe16e24a",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"access_groups": [
"AccessGroupId-985dc0a3-857b-48bd-b6d6-33819da7ba42"
],
"created_by": "iam-ServiceId-b7ebcf90-c7a9-495b-8ce8-bbf33cb95ca0",
"creation_date": "2020-10-09T17:13:47Z",
"crn": "crn:v1:bluemix:public:secrets-manager:us-south:a/791f5fb10986423e97aa8512f18b7e65:e415e570-f073-423a-abdc-55de9b58f54e::",
"description": "My test IAM credential.",
"id": "091ca93f-5c99-4078-9d7e-4801143030fd",
"labels": [
"test",
"us-south"
],
"last_update_date": "2020-10-09T17:13:47Z",
"name": "new-credential-name",
"secret_type": "IAM_CREDENTIALS",
"state": 1,
"state_description": "Active",
"ttl": 3600
},
"warnings": null
}
删除角色
使用以下命令删除角色。
删除 default 私钥组中的角色。
vault delete ibmcloud/SECRET_TYPE/roles/ROLE_ID
删除属于私钥组的角色。
vault delete ibmcloud/SECRET_TYPE/roles/groups/SECRET_GROUP_ID/ROLE_ID
先决条件
您需要 写入者 服务角色 来更新私钥的元数据。
命令选项
- 密钥类型
- 要删除的私钥的类型。 目前支持
iam_credentials。 - 密钥组标识
- 分配给角色的私钥组的标识及其凭证。
- role_id
- 分配给此私钥的标识。
示例
删除分配给 default 组的角色。
vault delete ibmcloud/iam_credentials/roles/091ca93f-5c99-4078-9d7e-4801143030fd
输出
此命令会返回以下输出:
Success! Data deleted (if it existed) at: ibmcloud/iam_credentials/roles/091ca93f-5c99-4078-9d7e-4801143030fd
锁定数
锁定私钥
使用以下命令对当前版本的私钥 创建一个或多个锁定。
在缺省私钥组中创建对私钥的锁定。
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/SECRET_ID/lock @FILE
在定制私钥组中创建对私钥的锁定。
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/groups/SECRET_GROUP_ID/SECRET_ID/lock @FILE
以独占方式锁定私钥。
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/groups/SECRET_GROUP_ID/SECRET_ID/lock_exclusive @FILE
以独占方式锁定私钥并删除先前版本数据。
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/groups/SECRET_GROUP_ID/SECRET_ID/lock_exclusive_delete @FILE
先决条件
您需要 写程序 服务角色 或更高角色来创建私钥锁定。
命令选项
- 密钥类型
- 您要锁定的秘密类型。
- 密钥组标识
- 密钥组标识。
- 文件
- 包含锁定详细信息的 JSON 文件。
- 名称
- 要分配给私钥组的人类可读别名。 必需。
- 描述
- 对秘密小组的详细描述。
- -格式
- 以您指定的格式打印输出。 有效格式为
table,json和yaml。 缺省值为table。 您还可以使用VAULT_FORMAT环境变量来设置输出格式。
示例
在缺省私钥组中创建对私钥的锁定。
vault write -format=json ibmcloud/arbitrary/locks/fe874c2b-e8fd-bbb6-9f19-e91bbe744735/lock @locks.json
在定制私钥组中创建对私钥的锁定。
vault write -format=json ibmcloud/arbitrary/locks/groups/bb6-9f19-e91bbe744735/fe874c2b-e8fd-bbb6-9f19/lock @locks.json
您可以根据以下示例格式化包含密钥锁定详细信息的 JSON 文件。
{
"locks": [
{
"name": "lockX",
"description": "blabla",
"attributes": {"key": "value"}
},
{
"name": "lockY",
"description": "blabla",
"attributes": {"key": "value"}
}
]
}
输出
用于在缺省组中的私钥上创建锁定的命令将返回以下输出:
{
"request_id": "df85bbe9-4a0a04-06b123",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"secret_group_id": "default",
"secret_id": "65e44d42-cf24f4-490fa9",
"versions": [
{
"alias": "current",
"id": "6df7edfe-e5f-0b66c-aaba832",
"locks": [
"lock4",
"lock5"
],
"payload_available": true
}
]
},
"warnings": null
}
列出私钥锁定
使用以下命令来列出与当前版本的私钥相关联的锁定。
列出缺省私钥组中的私钥上的锁定。
vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/SECRET_ID
vault read [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/groups/SECRET_GROUP_ID/SECRET_ID
先决条件
您需要 读者 服务角色 或更高角色来列出私钥锁定。
命令选项
- -格式
- 以您指定的格式打印输出。 有效格式为
table,json和yaml。 缺省值为table。 您还可以使用VAULT_FORMAT环境变量来设置输出格式。
示例
列出与缺省私钥组中的任意私钥关联的锁定。
vault read -format=json ibmcloud/arbitrary/locks/184408d6-8264-5ff3-c308-6922ed04ad88
列出与定制私钥组中用户的凭证私钥相关联的锁定。
vault read -format=json ibmcloud/username_password/locks/groups/d2e98a96-18ed-f13c-8dee-db955fb94122/c86946e6-b392-2613-159d-aff5a3f095b3
输出
此命令会返回以下输出:
{
"request_id": "7a09ca14-6a7d-9ea2-2515-f7c22890f148",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"locks": [
{
"attributes": {
"key": "value"
},
"created_by": "iam-ServiceId-222b47ab-b08e-42c3acb8",
"creation_date": "2022-06-30T21:04:15.143896Z",
"description": "Test lock for secret in the custom secret group.",
"last_update_date": "2022-06-30T21:31:19.343086Z",
"name": "lock-for-app-1",
"secret_group_id": "d2e98a96-18ed-fb22",
"secret_id": "c86946e6-b392-2613-15095b3",
"secret_version_alias": "current",
"secret_version_id": "ad6aa6d9-b43c-4bc3-52e64"
}
],
"locks_total": 1
},
"warnings": null
}
解锁私钥
使用以下命令来除去当前版本的私钥上的一个或多个锁定。
除去对缺省私钥组中私钥的锁定。
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/SECRET_ID/unlock locks=LOCK_NAME locks=LOCK_NAME
除去对定制私钥组中私钥的锁定。
vault write [-format=FORMAT] ibmcloud/SECRET_TYPE/locks/groups/SECRET_GROUP_ID/SECRET_ID/unlock locks=LOCK_NAME locks=LOCK_NAME
先决条件
您需要 写程序 服务角色 或更高角色来创建私钥锁定。
命令选项
- -格式
- 以您指定的格式打印输出。 有效格式为
table,json和yaml。 缺省值为table。 您还可以使用VAULT_FORMAT环境变量来设置输出格式。
示例
除去对缺省私钥组中私钥的锁定。
vault write -format=json ibmcloud/username_password/locks/65e44d42-cfb6-a24f4490fa9/unlock locks=test-lock-1 locks=test-lock-2
除去对定制私钥组中私钥的锁定。
vault write -format=json ibmcloud/arbitrary/locks/groups/7a09ca14-6a7d-9ea2-2515-f7c22890f148/9ea2-2515-f7c22890f148/unlock locks=test-lock-1 locks=test-lock-2
输出
此命令会返回以下输出:
{
"request_id": "0ec52cf2-59867-184a9c977",
"lease_id": "",
"lease_duration": 0,
"renewable": false,
"data": {
"secret_group_id": "default",
"secret_id": "65e44d42-cfb6-abe2-637d-2824f4490fa9",
"versions": [
{
"alias": "current",
"id": "6df7edfe-ea85-3d34-565f-0b66caaba832",
"locks": [],
"payload_available": true
}
]
},
"warnings": null
}