vault_config.sh

# https://developer.hashicorp.com/vault/docs/auth/approle
# 1. включаем auth по роли
vault auth enable approle

# 2. создаем kv v2
# где path конфиги для скаждого бека
# nav_ins_navi_dev | nav_ins_navi_prod | nav_ins_virtu_dev | nav_ins_virtu_prod
vault secrets enable -path=nav_ins_navi_dev kv-v2

# 3. создаем политику доступа для каждого бека
# nav_ins_navi_dev_policy | nav_ins_navi_prod_policy | nav_ins_virtu_dev_policy | nav_ins_virtu_prod_policy
# название path берем из 2 команды
vault policy write -tls-skip-verify nav_ins_navi_dev_policy -<<EOF
path "nav_ins_navi_dev/*" {
  capabilities = [ "read", "list" ]
}
EOF

# 4. создаем роль для каждого бека
# nav_ins_navi_dev_role | nav_ins_navi_prod_role | nav_ins_virtu_dev_role | nav_ins_virtu_prod_role
# а policies указываем название политики из вышеуказанной команды
vault write -tls-skip-verify auth/approle/role/nav_ins_navi_dev_role token_type=batch token_num_uses=0 policies="nav_ins_navi_dev_policy"

# 5. Получаем role_id для добавления в конфиг бека
# тут надо указать название роли из вышеуказанной команды
vault read -tls-skip-verify auth/approle/role/nav_ins_navi_dev_role/role-id

# 6. Создаем secret_id для роли
# тут надо указать название роли из вышеуказанной команды
vault write -tls-skip-verify -force auth/approle/role/nav_ins_navi_dev_role/secret-id

# 7. проверяем связку role_id и secret_id
# role_id из 5 команды, secret_id из 6 команды
vault write auth/approle/login role_id="81cd0263-9b92-6726-af71-4955d73911d4" secret_id="d148a92c-93d8-ed1f-3ce6-380f6f8c5cd6"

# 8. Прописываем role_id и secret_id в конфигурации бека по определенному шаблону