Mise en œuvre de la gestion des secrets avec Vault

Ce que fait ce skill

Ce skill fournit un guide pratique et complet pour déployer HashiCorp Vault afin de gérer les secrets de manière centralisée dans des environnements cloud et Kubernetes. Il explique les modèles de déploiement HA (Raft), le TLS et l'auto-unseal, les backends d'authentification (AppRole, OIDC, Kubernetes), les identifiants de base de données dynamiques, la génération d'identifiants AWS IAM, le chiffrement de transit pour la cryptographie au niveau applicatif, et la PKI pour l'émission de certificats. La documentation inclut des extraits de configuration, des exemples de CLI et des vérifications opérationnelles pour une utilisation sécurisée en production.

Quand l'utiliser

Utilisez ce skill lors de la migration d'identifiants statiques et permanents vers des secrets dynamiques à courte durée de vie ; lorsque les charges de travail Kubernetes nécessitent l'injection sécurisée de secrets ; lorsque la conformité exige une gestion auditable des identifiants ; ou lorsque vous avez besoin d'une PKI centralisée et d'un service de chiffrement. Ce skill n'est pas destiné aux environnements exclusivement AWS où Secrets Manager suffit.

Ce qui est inclus

• Scripts : le dépôt contient des scripts et des exemples pour le déploiement et l'automatisation.
• Références : notes d'architecture, exemples de politiques, annotations Kubernetes et exemples de sortie d'audit/rapport.
• Instructions : actions étape par étape couvrant le déploiement, les méthodes d'authentification, les moteurs de secrets dynamiques, les intégrations Kubernetes, la configuration PKI, la conception de politiques et les pièges courants.

Agents compatibles

Utile comme guide d'intervention manuel pour les ingénieurs sécurité et comme skill de connaissance pour les agents assistant le guidage opérationnel et la génération d'IaC.