php vault Download - php vault Source Code Download

php vault

Autres catégories

v1.0.7

Télécharger

TechnicalGuru / PHP-Vault

Un coffre-fort Flexible à base de PHP pour fournir des secrets dynamiquement

Licence

Ce projet est sous licence sous GNU LGPL 3.0.

Installation

Par compositeur

composer install technicalguru/vault

Par package Download

Vous pouvez télécharger les packages de code source à partir de la page de version github

Configuration de Hashicorp

La procédure est mieux décrite sur le blog Hashicorp. Il décrit comment créer une approle . Voici l'essence de celui-ci:

 # Enable the auth method for approle
vault auth enable approle

# Create a renewal policy
echo ' path "auth/token/*" { capabilities = [ "create", "read", "update", "delete", "list", "sudo" ] } ' > renewal-policy.hcl
vault policy write renewal-policy renewal-policy.hcl

# Create a file with your policy on the respective secret path:
cat ' path "secret/my-secret" { capabilities = ["read", "list"] } ' > app-policy.hcl

# Create the policy
vault policy write my-app-policy app-policy.hcl

# Create the approle with renewal-policy and your application policy
vault write auth/approle/role/my-approle token_policies=renewal-policy,my-app-policy token_period=30m token_ttl=30m token_max_ttl=1h token_explicit_max_ttl=2h

# Get the role ID printed
vault read auth/approle/role/my-approle/role-id

# Create the secret ID and print it
vault write -f auth/approle/role/my-approle/secret-id

Veuillez noter que vous devez recréer l'ID secret chaque fois que vous modifiez le rôle de demande ou une politique.

Exemples

Créer un hashicorpvault

Veuillez noter que ce coffre-fort est en fait un client d'un coffre-fort hashicorp existant.

 // Create configuration
$ config = array (
	' type '   => ' hashicorp ' ,
	' config ' => array (
		' uri '      => ' https://127.0.0.1:8200/v1 ' ,
		' roleId '   => ' 123456-12345-12345-123456 ' ,
		' secretId ' => ' abcdef-abcde-abcde-abcdef '
	)
);

// Create the vault instance
try {
	$ vault =  TgVault VaultFactory:: create ( $ config );
} catch (  TgVault  VaultException $ e ) {
	// Vault could not be created
}

Créer un MemoryVault

 // Create configuration
$ config = array (
	' type '   => ' memory ' ,
	' config ' => array (
		' secrets ' => array (
			' my/secret/number/1 ' => array (
				' username ' => ' my-username1 ' ,
				' password ' => ' my-password1 ' ,
			),
			' my/secret/number/2 ' => array (
				' username ' => ' my-username2 ' ,
				' password ' => ' my-password2 ' ,
			),
		)
	)
);

// Create the vault instance
try {
	$ vault =  TgVault VaultFactory:: create ( $ config );
} catch (  TgVault  VaultException $ e ) {
	// Vault could not be created
}

Créer un FileVault

 // Create configuration
$ config = array (
	' type '   => ' file ' ,
	' config ' => array (
		' filename ' => ' path-to-json-secret-file '
	)
);

// Create the vault instance
try {
	$ vault =  TgVault VaultFactory:: create ( $ config );
} catch (  TgVault  VaultException $ e ) {
	// Vault could not be created
}

Le fichier Secrets (JSON) ressemble à ceci:

{
	"secrets" : {
		"my/secret/number/1" : {
			"username" : " my-username1 " ,
			"password" : " my-password1 "
		},
		"my/secret/number/2" : {
			"username" : " my-username2 " ,
			"password" : " my-password2 "
		}
	}
}

Récupérer un secret

 try {
	$ mySecret1 = $ vault -> getSecret ( ' my/secret/number/1 ' );
	$ mySecret2 = $ vault -> getSecret ( ' my/secret/number/2 ' );
} catch (  TgVault  VaultException $ e ) {
	// secret was not found
}

$ username1 = $ mySecret1 -> get ( ' username ' );
$ password1 = $ mySecret1 -> get ( ' password ' );
$ username2 = $ mySecret2 -> get ( ' username ' );
$ password2 = $ mySecret2 -> get ( ' password ' );

Une valeur dans un secret est NULL lorsque la clé n'existe pas alors qu'une exception sera lancée lorsque le secret lui-même ne peut être trouvé ou qu'une erreur s'est produite lors de la récupération.

Utilisation des informations d'identification de rappel paresseux

Vous pouvez utiliser les classes SecretProvider ou CredentialsProvider pour les transmettre sans savoir d'où ils viennent ni comment utiliser un coffre-fort.

 $ callback1 = new  TgVault  SecretProvider ( $ vault , ' my/secret/number/1 ' );
$ callback2 = new  TgVault  CredentialsProvider ( $ vault , ' my/secret/number/2 ' );

try {
	$ username1 = $ callback1 -> get ( ' username ' );
	$ password1 = $ callback1 -> get ( ' password ' );

	$ username2 = $ callback2 -> getUsername ();
	$ password2 = $ callback2 -> getPassword ();
} catch (  TgVault  VaultException $ e ) {
	// Secret cannot be retrieved or does not exist
}

Le CredentialsProvider prend des arguments de constructeur supplémentaires qui définissent, que les clés du secret fournissent le nom d'utilisateur et le mot de passe. Les valeurs par défaut sont données ci-dessus pour le SecretProvider .