Vault MongoDB Atlas密钥插件Docker镜像文档

概述

Vault MongoDB Atlas密钥插件是HashiCorp Vault的后端插件Docker镜像，专为在容器环境中运行该插件设计。该插件允许Vault生成唯一、临时的MongoDB Atlas编程式API密钥，实现安全的密钥生命周期管理。此镜像仅支持与运行在Linux操作系统上的Vault服务器配合使用。

项目源码：[***]

核心功能与特性

• 临时密钥生成：自动创建唯一、短期有效的MongoDB Atlas编程式API密钥，降低长期密钥泄露风险
• Vault原生集成：作为Vault后端插件，无缝对接Vault的密钥管理、访问控制及审计能力
• 容器化部署：提供Docker镜像封装，支持在容器环境中快速部署和扩展
• Linux兼容性：仅支持与运行在Linux系统上的Vault服务器协同工作

适用范围

• 采用HashiCorp Vault进行密钥集中管理的企业级环境
• 需要为MongoDB Atlas服务提供临时、自动轮换访问凭证的场景
• 基于Linux系统部署Vault服务器的容器化架构环境
• 对密钥生命周期安全性要求较高的MongoDB Atlas管理场景

使用方法

前提条件

• 运行在Linux系统上的HashiCorp Vault服务器（v1.6.0+推荐）
• Docker引擎（19.03+版本）
• 网络配置：容器需能访问Vault服务器API及MongoDB Atlas API

基本部署流程

1. 获取镜像

# 拉取官方镜像（具体标签请参考GitHub仓库发布页）
docker pull hashicorp/vault-plugin-secrets-mongodbatlas:latest

2. 运行插件容器

docker run -d \
  --name vault-mongodbatlas-plugin \
  --network vault-net \  # 确保与Vault服务器在同一网络
  --volume /path/to/plugin-config:/config \  # 可选：挂载配置文件
  hashicorp/vault-plugin-secrets-mongodbatlas:latest

3. 在Vault中配置插件

3.1 注册插件

# 获取插件二进制的SHA256哈希（需替换为实际值）
PLUGIN_SHA256=$(sha256sum /path/to/plugin/binary | awk '{print $1}')

# 在Vault中注册插件
vault plugin register -sha256=$PLUGIN_SHA256 secret vault-plugin-secrets-mongodbatlas

3.2 启用插件后端

vault secrets enable -path=mongodbatlas -plugin-name=vault-plugin-secrets-mongodbatlas plugin

3.3 配置MongoDB Atlas凭证

vault write mongodbatlas/config \
  public_key="your-mongodb-atlas-public-key" \
  private_key="your-mongodb-atlas-private-key"

3.4 创建角色并生成临时密钥

# 创建密钥角色（定义权限和TTL）
vault write mongodbatlas/roles/my-role \
  project_id="mongodb-atlas-project-id" \
  roles="GROUP_OWNER" \
  ttl=1h \
  max_ttl=24h

# 生成临时API密钥
vault read mongodbatlas/creds/my-role

注意事项

• 系统兼容性：插件容器和Vault服务器必须运行在Linux系统，不支持Windows或macOS环境
• 安全校验：注册插件时必须提供正确的SHA256哈希值，确保插件完整性
• 网络隔离：建议通过专用网络连接插件容器与Vault服务器，限制外部访问
• 版本匹配：插件版本需与Vault服务器版本兼容，具体参考官方兼容性矩阵
• 密钥轮换：通过Vault的TTL配置自动管理密钥生命周期，无需手动干预

详细配置参数及高级用法请参考官方GitHub仓库文档。