Vault

安全

管理密钥、动态凭据和加密——Neotask 通过 OpenClaw 处理您的 HashiCorp Vault 操作。

你能做什么

秘密引擎操作

从 KV、PKI、AWS、数据库和其他秘密引擎读取和写入秘密。 Neotask 根据您对所需内容的描述构造正确的 Vault 路径和 API 调用。

动态凭证生成

从 Vault 的动态机密引擎请求短期数据库密码、AWS IAM 密钥或 GCP 服务账户令牌。凭证是有范围的、有时间限制的,并且永远不会存储在安全上下文之外。

政策管理

编写、更新和审查 Vault HCL 策略。描述您想要授予或限制的访问模式,Neotask 将起草策略并在您审核后应用。

令牌和身份验证方法管理

创建和撤销 Vault 令牌、管理 AppRole 凭据以及查看令牌 TTL。列出有效的租约并在导致中断之前识别即将到期的令牌。

审核日志审查

查询 Vault 审核日志以跟踪谁访问了哪个机密以及何时访问。从普通对话中识别异常访问模式、失败的身份验证尝试和策略违规。

尝试询问

  • “从 Vault 中的 Secret/prod/postgres 读取数据库凭据”
  • “生成具有 S3 只读访问权限的动态 AWS IAM 密钥,持续 1 小时”
  • “创建一个允许对 Secret/data/app/* 进行读取访问但不允许写入的 Vault 策略”
  • “列出 Vault 中的所有有效租约,并标记未来 24 小时内到期的租约”
  • “轮换生产 MySQL 数据库秘密引擎的根凭据”
  • “过去 48 小时内谁访问了 Secret/prod/api-keys 路径?”
  • “在路径‘internal/’处启用 KV v2 秘密引擎”
  • “使用访问器 abc123xyz 撤销 Vault 令牌”

    • 专业提示

  • 尽可能使用动态机密而不是静态机密 - Neotask 可以为每个作业请求一个新的凭证,并让 Vault 在租约到期时自动撤销它
  • 要求 Neotask 从 Vault 生成 PKI 证书以用于内部服务到服务 TLS - 无需手动证书管理
  • 每季度检查一次 Vault 策略:要求提供所有策略的摘要以及它们所附加的身份验证方法
  • 使用 Vault 命名空间进行多租户隔离 — Neotask 可以自动将所有操作范围限定到正确的命名空间
  • 在动态凭据上设置较短的默认 TTL(15-30 分钟),并仅在作业明确需要时使用 Vault 的租约续订

    • Works Well With