vault

gestione token jwt

Gabriele Lombardi:

Vault per permettere ad un acronimo di visualizzare un secret, legge il campo “HVClient” presente nel token JWT inviato in input (la chiave nera nel disegno) e:

• Se quella stringa è presente anche nel path allora permette la lettura
• Se quella stringa NON è presente anche nel path allora restituisce “permission denied”

Quindi per fare un esempio, se l’acronimo chiamante è “acr1”, potrà leggere solo le credenziali di Azure del tipo: es “sp-isp-acr1-….”

Lato Hashicorp Vault abbiamo notato che sono stati richiesti due service account padri/esterni: sa-isp-ai4y0-gen-svil-001-ext e sa-isp-ai4y0-gen-test-001-ext.

Di conseguenza abilitato due secret engine per permettere di eseguire impersonation: uno utilizzerà il service account di system test e uno quello di sviluppo.

Riporto una breve tabella riassuntiva:

Abbiamo testato la creazione di un token per ogni service account figlio e tale token è stato creato correttamente (con ttl di 1h come da accordi).

AIxeleration-AuthvsSP-Async.pptx

Il meccanismo di funzionamento ad alto livello è normato dagli schemi in slide 3.