Vault HS256 key rotation pas de downtime
Commentaires
Membre depuis le 06/09/2024
pour le transit engine vault supporte le key rotation avec plusieurs versions de clés tu peux créer une nouvelle version et les clients peuvent utiliser l'ancienne tant qu'elle est pas désactivée il faut que ton appli soit capable de gérer plusieurs clés pour la validation des signatures c le point clé
Membre depuis le 23/10/2024
exactement le secret c'est côté appli il faut qu'elle puisse essayer plusieurs clés de signature en cascade quand elle valide une signature quand la nouvelle clé est dispo elle peut la charger et essayer l'ancienne si la nouvelle échoue
Membre depuis le 08/11/2024
ok je vois donc on publie la nouvelle clé, les applis l'ont puis après un certain temps on désactive l'ancienne côté vault c ça ? faut un mécanisme de push pour la nouvelle clé ou l'appli doit puller ?
Membre depuis le 06/09/2024
plutôt pull côté appli elle demande la clé à vault et vault lui retourne la version active. quand tu rotates vault va juste retourner la nouvelle version mais l'ancienne reste dispo pour la validation jusqu'à ce que tu la "prune" via l'api transit/keys/<key_name>/rotate
Membre depuis le 08/11/2024
d'acc je vais regarder ça avec l'équipe dev merci pour les infos c'est plus clair déjà
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
madeleine-rolland
Membre depuis le 08/11/2024
salut la mif, on a des secrets signés par vault avec des clés hs256 faut les rotater tous les mois mais à chaque fois ça fait un petit creux sur le service parce que la clé est rechargée après un redémarrage du service d'appli. on cherche un moyen de faire ça à chaud sans downtime. des pistes pour que vault gère ça mieux ou une strat côté app ?