vsh

vsh対話型の HashiCorp Vault シェルおよび cli ツールです。複数の一般的な操作が付属しており、パスをディレクトリやファイルと同様に扱います。主な機能は次のとおりです。

• 多くの操作のパスでの再帰操作 (例: cp 、 rm 、 mv
• grepによる検索 (部分文字列または正規表現)
• キーおよび/または値 (部分文字列または正規表現) のパターンをreplaceで置き換えます
• KV1 と KV2 の間の相違点に対する透過性。つまり、両方の間でシークレットを自由に移動/コピーできます。
• 自動化のための非対話型モード ( vsh -c "<cmd>" )
• appendによるさまざまな戦略とキーのマージ

brew install vsh

nix-env -i vsh

最新の静的バイナリをリリース ページからダウンロードします。

• add は単一のキーと値をパスに追加します
• append は、異なる戦略を持つシークレットをマージします (パス上での再帰操作が可能になります)。
• cat はパスのキーと値のペアを表示します
• cd により、パス内の対話型ナビゲーションが可能になります
• cp はシークレットをある場所から別の場所にコピーします (パス上での再帰操作が可能)
• grep は部分文字列または正規表現を検索します (パスに対する再帰操作が可能)
• ls は、指定されたパスのサブパスを表示します
• mv はシークレットをある場所から別の場所に移動します (パス上での再帰操作が可能)
• 部分文字列または正規表現を置換します (パスに対する再帰操作が可能)
• rm はシークレットを削除します (パス上での再帰操作が可能になります)

有効なトークンを取得するために、 vsh Vault の TokenHelper メカニズムを使用します。つまり、 vsh ~/.vault-token 、 VAULT_TOKEN 、および外部トークンヘルパーを介したボールト トークンの設定をサポートします。

VAULT_CACERT環境変数をpem証明書パスに設定して、サーバーの tls 証明書を追加します。

vsh操作されたパスに対するList権限が必要です。これは、パスがパス ツリー内のノードまたはリーフを指しているかどうかを判断するために必要です。さらに、オートコンプリート データを収集する必要があります。

cpやmvなどのデータを変更するコマンドには、操作されたパスに対するReadおよびWrite権限がさらに必要です。

利用可能なすべてのバックエンドを確実に検出するには、 vshで使用されるボールト トークンにsys/mountに対するList権限があることが理想的です。ただし、これは難しい要件ではありません。トークンにsys/mountに対するList権限がない場合、 vsh利用可能なバックエンドを事前に認識しません。つまり、最初は最上位 (バックエンド) レベルでパスの自動補完が行われないことになります。いずれにせよ、 vshベストエフォート戦略を使用して、入力されたすべてのパスの kv バージョンを確実に決定しようとします。

 export VAULT_ADDR=http://localhost:8080
export VAULT_TOKEN=root
export VAULT_PATH=secret/  # VAULT_PATH is optional
./vsh
http://localhost:8080 /secret/>

注:指定されたトークンはオートコンプリートに使用されます。つまり、何もrmやmv実行しなくても、 List()クエリはそのトークンを使用して実行されます。 vsh List()結果をキャッシュして、クエリの量を減らします。ただし、各コマンドの実行後、正確なタブ補完を行うためにキャッシュがクリアされます。トークンの使用回数が限られている場合は、 List()クエリを回避するために、非対話モードの使用を検討するか、オートコンプリートをオフに切り替えてください。

Vault に対するクエリの数を減らすには、次の 2 つの方法でパスの自動補完を無効にすることができます。

1. 開始時に無効にする:

 ./vsh --disable-auto-completion

2. インタラクティブモード内に切り替えます:

 ./vsh
http://localhost:8080 /secret/> toggle-auto-completion
Use path auto-completion: false
http://localhost:8080 /secret/> toggle-auto-completion
Use path auto-completion: true

 export VAULT_ADDR=<addr>
export VAULT_TOKEN=<token>
./vsh -c "rm secret/dir/to/remove/"

Vault シークレットに取り組むことは非常に重要であり、 vshにとって品質と正しい動作が第一級市民となります。そうは言っても、 vshまだ小規模なオープンソース プロジェクトであるため、いかなる保証も提供できません。ただし、私たちはテスト駆動開発を重視しています。すべての PR は、広範な統合テスト スイートでテストされます。テストの大部分は KV1 と KV2 で実行され、すべてのテストは Vault 1.13.4と1.16.2に対して実行されます。つまり、その間の Vault バージョンにも互換性がある可能性があります。

️一般に、 vshの使用は自己責任で行ってください。当社では一切の責任を負わず、いかなる保証もいたしません。

どのような形でも貢献はいつでも大歓迎です!コミュニティからの貢献がなければ、 vsh今日のツールにはなりませんでした。

要件：

• golang ( >= v1.21 )
• 統合テスト用のdocker
• コマンドを簡素化するためのmake

 make compile
make get-bats
make integration-tests

-v DEBUGデバッグ ログ レベルを設定します。これにより、Vault API からのエラー オブジェクトを記録するためのvsh_trace.logファイルも作成されます。