102. GCP-GCE authentication
gcp auth 后端允许使用现有 GCP(Google 云平台)IAM 和 GCE 凭据登录Vault。
GCP GCE(Google Compute 引擎)身份验证为服务帐户创建 JSON Web 令牌(JWT)形式的签名。使用Instance identification从 GCE 元数据服务中获取 Compute Engine 实例的 JWT。此 API 创建一个 JSON Web 令牌,可用于确认实例身份。
与大多数 Vault 身份验证后端不同,此后端不需要先部署或配置安全敏感的凭据(令牌,用户名/密码,Client 端证书等)。而是将 GCP 视为受信任的第三方,并使用经过加密签名的动态元数据信息来唯一表示每个 GCP 服务帐户。
实施例 102.1. 具有必需的 GCP-GCE 身份验证属性的 bootstrap.yml
spring.cloud.vault:
authentication: GCP_GCE
gcp-gce:
role: my-dev-role
示例 10.2. 具有所有 GCP-GCE 身份验证属性的 bootstrap.yml
spring.cloud.vault:
authentication: GCP_GCE
gcp-gce:
gcp-path: gcp
role: my-dev-role
service-account: [emailprotected]
-
role
设置尝试进行登录的角色的名称。 -
gcp-path
设置要使用的 GCP 安装的路径 -
service-account
允许将服务帐户 ID 覆盖为特定值。默认为default
服务帐户。
See also: