Important (Требования)
Для замены root токена в Vault необходимо:
- Vault должен находиться в состоянии
unsealed - Наличие unseal ключей в количестве, достаточном для кворума
- Текущий root токен не требуется для процедуры ротации
Инициализация процедуры генерации
Запустите процедуру генерации нового root токена:
vault operator generate-root -initВ ответ Vault предоставит:
- nonce — идентификатор сессии
- OTP (одноразовый пароль) — потребуется для расшифровки нового токена
Warning (Важно)
Сохраните OTP код в безопасном месте. Без него невозможно расшифровать новый root токен.
Ввод unseal ключей
Каждый держатель unseal ключа должен ввести свой ключ. Процесс аналогичен распечатыванию (unseal) Vault:
vault operator generate-rootNote (Распределенные ключи)
Если unseal ключи находятся у разных людей, каждый должен последовательно ввести свой ключ. После ввода всех необходимых ключей последний участник получит зашифрованный новый root токен.
Расшифровка нового токена
Используйте полученный зашифрованный токен и сохраненный OTP для расшифровки:
vault operator generate-root -decode=<зашифрованный_токен> -otp=<OTP>В результате вы получите новый root токен в открытом виде.
Отзыв старого root токена
После успешной генерации нового токена Vault будет иметь два активных root токена. Старый токен необходимо отозвать:
vault token revoke <старый_root_токен>Warning (Внимание)
При отзыве токена все дочерние токены, созданные с его помощью, также будут автоматически отозваны.
Сохранение дочерних токенов
Если необходимо сохранить токены, которые были сгенерированы из под старого root токена, используйте флаг -mode=orphan:
vault token revoke -mode=orphan <старый_root_токен>Tip (Рекомендация)
Используйте режим orphan только если действительно необходимо сохранить дочерние токены. В большинстве случаев рекомендуется полный отзыв для обеспечения безопасности.
Дополнительные ресурсы
- Generate Root Token Tutorial — официальная документация по генерации root токена
- Token Revoke Command — документация по команде отзыва токенов