HashiCorp Vault Userpass 인증 방식을 활성화하고 특정 사용자에게 관리자 권한을 부여하는 방법

HashiCorp Vault Userpass 인증 방식을 활성화하고 특정 사용자에게 관리자(Admin) 권한을 부여하는 방법

Vault에서 기본적으로 사용하는 Root Token 대신 아이디/패스워드 기반 로그인(Userpass)을 활성화하고 특정 사용자에게 관리자 권한(Admin Policy)을 부여하는 방법입니다.

1. Userpass 인증 방식 활성화

Vault에서 사용자 ID/Password 로그인 기능을 사용하려면 먼저 인증 방식을 활성화해야 합니다.

vault auth enable userpass

확인

vault auth list

Path         Type        Accessor                  Description                Version
----         ----        --------                  -----------                -------
token/       token       auth_token_4cb116c0       token based credentials    n/a
userpass/    userpass    auth_userpass_6745a362    n/a                        n/a

2. 관리자 정책(Admin Policy) 생성

Vault에서 권한은 Policy 기반으로 관리됩니다.

먼저 관리자 권한에 해당하는 정책을 정의해야 합니다.

 

정책 파일 생성

vim admin-policy.hcl

# 모든 경로에 대해 전체 권한 허용
path "*" {
  capabilities = [
    "create",
    "read",
    "update",
    "delete",
    "list",
    "sudo"
  ]
}

Success! Uploaded policy: admin-policy

정책 등록

vault policy write admin-policy admin-policy.hcl

등록 확인

vault policy list

admin-policy
default
root

728x90

3. 사용자 생성 및 정책 할당

이제 Userpass 인증을 통해 로그인할 사용자를 생성하고 앞에서 만든 admin-policy를 연결합니다.

• 아이디 : my-admin
• 비번 : password123

vault write auth/userpass/users/my-admin \
    password="password123" \
    policies="admin-policy"

---

Token TTL 설정

• Userpass 로그인 시 발급되는 토큰의 TTL도 관리해야 합니다.

vault write auth/userpass/users/my-admin \
    password="password123" \
    policies="admin-policy" \
    token_ttl="1h" \
    token_max_ttl="4h"

---

Success! Data written to: auth/userpass/users/my-admin

4. 로그인 테스트

Root Token 대신 새로 만든 계정으로 로그인합니다.

vault login -method=userpass username=my-admin

Password (will be hidden):

• 비밀번호 입력창에 password123 입력

5. 권한 확인 (추천)

로그인 후 실제 권한이 제대로 적용되었는지 확인합니다.

vault token lookup

또는

vault token capabilities secret/data/*

 

참고URL

- 변군이글루 블로그 : HashiCorp Vault UI에 접속할 수 있는 사용자 계정 및 비밀번호를 생성하는 방법