Vault GCP Secrets Plugin Docker镜像文档

1. 概述

1.1 镜像概述

Vault GCP Secrets Plugin是HashiCorp Vault的后端插件，用于动态生成Google Cloud Platform (GCP) 服务账号密钥和OAuth令牌。该插件基于IAM策略控制访问权限，允许用户无需手动创建或管理专用服务账号，即可安全访问GCP资源。其Docker镜像专为容器化环境设计，用于在容器中运行该插件。

1.2 主要用途

• 动态生成临时GCP服务账号密钥，避免长期静态凭证的安全风险
• 动态生成OAuth令牌，用于访问GCP API
• 通过Vault的统一权限控制体系，基于IAM策略管理GCP资源访问权限
• 在容器环境中部署和运行Vault GCP Secrets插件

2. 核心功能与特性

• 动态凭证生成：基于预定义的IAM策略，实时生成GCP服务账号密钥和OAuth令牌，凭证具有自动过期机制
• IAM策略集成：支持通过GCP IAM策略定义访问权限，确保凭证权限最小化
• 无状态运行：插件本身不存储持久化数据，依赖Vault的存储层管理配置和状态
• 容器化支持：提供Docker镜像，支持在容器环境中部署和运行
• 平台兼容性：仅支持与运行在Linux系统的Vault服务器配合使用

3. 使用场景与适用范围

3.1 使用场景

• 安全访问GCP资源：需要通过Vault统一管理GCP资源访问凭证的场景
• 自动化流程集成：CI/CD流水线、自动化脚本等需要临时GCP凭证的场景
• 多团队权限隔离：多团队共享GCP项目时，通过Vault策略实现权限隔离和最小权限控制
• 凭证轮换自动化：需要定期轮换GCP服务账号密钥的合规性场景

3.2 适用范围

• 运行环境：仅支持运行在Linux操作系统的Vault服务器
• 集成环境：需接入GCP的Vault部署环境，且Vault服务器具有访问GCP API的网络权限
• 用户对象：Vault管理员、DevOps工程师、需要安全管理GCP凭证的技术团队

4. 使用方法与配置说明

4.1 前置条件

• 已部署运行在Linux系统的Vault服务器（版本需兼容插件要求，具体参考官方文档）
• 已安装Docker环境（用于运行插件容器）
• 拥有GCP项目访问权限，可配置IAM策略和服务账号

4.2 部署步骤

4.2.1 拉取镜像

从容器 registry 拉取插件镜像（具体镜像名称以官方发布为准，示例中使用占位符）：

docker pull hashicorp/vault-plugin-secrets-gcp:latest

4.2.2 运行插件容器

将插件二进制文件挂载到Vault服务器的插件目录（Vault插件目录需在plugin_directory配置中指定）：

docker run -d \
  --name vault-gcp-secrets-plugin \
  -v /path/to/vault/plugins:/plugins \
  hashicorp/vault-plugin-secrets-gcp:latest \
  cp /vault-plugin-secrets-gcp /plugins/

说明：插件容器的主要作用是提供插件二进制文件，实际运行由Vault服务器加载并管理

4.2.3 配置Vault插件

1. 计算插件SHA256哈希（Vault加载插件时需验证）：

   sha256sum /path/to/vault/plugins/vault-plugin-secrets-gcp
   

2. 注册插件到Vault：

   vault plugin register -sha256=<插件SHA256哈希> secret vault-plugin-secrets-gcp
   

3. 启用插件后端：

   vault secrets enable -path=gcp vault-plugin-secrets-gcp
   

4. 配置GCP连接（需提供GCP认证信息，如服务账号密钥）：

   vault write gcp/config \
     credentials=@/path/to/gcp-service-account-key.json \
     project=<GCP项目ID>
   

4.3 核心配置参数

通过vault write命令配置插件时支持以下核心参数：

5. 参考链接

• 官方GitHub仓库
• HashiCorp Vault官方文档
• GCP IAM策略文档