去年12月，我们宣布了vault1.0和Vault开源中的云自动解封功能。此功能以前仅适用于Vault Enterprise客户。在这篇博客文章中，我们简要介绍了如何在Vault开源中启用基于云的自动解封。如果您已经在使用Vault，则需要移植到"自动解封"，但不要担心，您可以随时移植回"手动解封"。如果您一直在等待尝试开放源代码保险库，因为解封的麻烦，现在是一个好时机！»为什么保险库需要拆封？启动Vault服务器时，它将以密封状态开始。密封后，保险库知道在哪里以及如何访问物理存储，但不知道如何解密任何物理存储。解封是构造读取解密密钥以解密数据所需的主密钥的过程，允许访问Vault中的数据。在解封之前，除了终止Vault服务器进程之外，唯一可能的Vault操作是打开Vault并检查解封状态。»手动解封默认情况下，Vault配置为使用Shamir的秘密共享将主加密密钥拆分为碎片。重建主密钥和解封保险库数据需要一定的碎片阈值。一次添加一个碎片（以任何顺序），直到有足够的碎片来重建主密钥并解密数据。一旦保险库被打开，它将一直保持这样，直到发生以下两种情况之一：通过API或命令行重新密封，或服务器重新启动。此解封过程通过运行vault运算符unsel或通过API完成。通常，需要多个操作员来解封保险库，每个操作员都提供其共享机密的一部分，作为手动过程的一部分。一些组织使用vaultapi或命令行构建工具来自动化或半自动化此过程，但以安全且操作可靠的方式这样做并非易事。»自动解封自动解封是为了帮助降低解封保险库的操作复杂性，同时保持主密钥的安全。此功能将保护操作员的主密钥的责任委派给受信任的设备或服务。与仅在内存中构造密钥不同，主密钥由基于云的密钥管理系统（KMS）或本地硬件安全模块（HSM）加密，然后存储在存储后端，使Vault能够在启动时解密主密钥并自动解封。这样就不需要多个操作员或代理在手动或定制的自动化过程中提供部分共享密钥。自Vault 1.0起，开放源代码版本中提供了使用基于云的KMS的自动解封功能。使用HSM自动解封仍然是Vault Enterprise功能。使用自动解封时，Vault中的某些操作仍需要一定数量的用户才能执行，例如生成根令牌。在初始化过程中，会生成一组称为恢复密钥的Shamir密钥，用于这些操作。要启用基于云的自动解封，您需要在一个受支持的云提供商上设置KMS并为其生成访问令牌。接下来，您将使用seal节或通过提供某些环境变量（如Vault_seal_TYPE）来配置Vault。以下是AWS KMS的配置示例：密封"awskms"{region="美国东部-1"access_key="Akiaiosfodnn7示例"secret_key="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"kms_key_id="19ec80b0-dfdd-4d97-8164-c6examplekey"终结点="https://vpce-0e1bb1852241f8cc6-pzi0do8n.kms.us-east-1.vpce.amazonaws.com"}注意：我们不建议在Vault配置文件中存储访问密钥和密钥等凭据。也可以从awscli或实例概要文件中提供环境变量或作为AWS概要文件的一部分。有关详细信息，请参阅每个受支持的提供程序的文档：AWS KMS（文档、教程）Azure密钥库（文档、教程）谷歌云KMS（文档、教程）阿里云KMS（文档）»迁移到自动解封如果您已经在运行Vault open source，并且将其配置为手动解封，则需要迁移到自动解封。迁移过程概述如下：使Vault群集脱机更新密封配置恢复群集使用-migrate标志运行解封进程解封过程完成后，解封密钥将迁移到恢复密钥，并启用自动解封。在将disabled=true添加到Vault配置中的seal节之后，您可以随时通过重复上述过程来迁移回。有关完整的详细信息，请参阅我们的迁移文档。企业版Vault用户注意：对于启用了封口换行的安装，尚不支持从自动解封迁移回手动解封。»了解更多Vault 1.0：如何自动解封和其他新功能-YouTube演示：自动解封保险库开源-YouTube密封/解封-保险库文件密封件-配置-保险库文件自动解封使用AWS KMS |保险库-HashiCorp学习使用Azure密钥保险库自动解封保险库-HashiCorp学习使用GCP Cloud KMS | Vault-HashiCorp Learn自动解封