Seal/Unseal
当vault服务启动时,它开始是密封(sealed)的状态。在这种状态下,vault被配置为知道如何访问物理存储,但不知道如何解密。
解封(Unsealing )是构建master key,用以获取解密密钥来解密数据、访问vault的过程。
在解封(Unsealing )之前,几乎没有操作可以与vault进行交互。例如认证、管理挂载表等都是不可能的。唯一可能的操作是解封vault和查看解封状态
为什么如此?:
数据存储库是加密存储的。库需要加密密钥(encryption key )来解密数据。的加密密钥也存储在库中,对加密密钥进行加密的秘钥称为主密钥(master key)。主密钥(master key)可存储在任何地方。
因此,解密数据,vault必须使用主秘钥解密加密密钥。开启就是构造主密钥的过程。
Unsealing
解封(unseal)过程可通过vault unseal开启或通过API开启。
这个过程是有状态:一种可行的方式是每个键可以通过多种机制在多个物理终端进行输入。这允许每个主键的碎片在不同的机器上,能够更好地保障安全。
vault启封后,启封状态维持到发生项目两件事:
1、通过API进行resealed操作
2、vault服务重启
* Sealing *
封闭vault可以通过API来操作。这将会丢弃的主密钥,需要使用另一个解封过程来恢复它。使用root特权只需要一个个步骤即可密封vault。
这种是为了,如果检测到入侵,vault数据可以快速锁定尽量减少损失。没有访问主密钥的碎片将不能再访问vault;