Как работает аутентификация с помощью JWT в Hashicorp Vault?

Аутентификация с помощью JWT в Hashicorp Vault работает так: для каждой задачи (job) генерируется свой уникальный токен JSON Web Token (JWT). habr.com Этот JWT доступен как значение переменной окружения CIJOBJWT конкретной задачи. habr.com docs.gitlab.co.jp

Некоторые особенности работы JWT:

• Токен кодируется по стандарту RS256 и подписывается приватным ключом OpenID Connect. habr.com docs.gitlab.co.jp Этот ключ периодически изменяется, и если он был изменён, при следующем запуске задания новый JWT будет подписан с новым ключом. habr.com
• Срок валидности токена устанавливается в соответствии с таймаутом задания, а если он не задан, то срок валидности будет 5 минут. habr.com docs.gitlab.co.jp
• При настройке ролей в Vault можно задавать значения bound_claims для сопоставления их с полями из JWT и таким образом дополнительно ограничить то, к каким секретам какой процесс CI будет иметь доступ. habr.com

Vault проверяет подписи JWT с помощью открытых ключей эмитента. developer.hashicorp.com Для проверки можно настроить один из следующих методов: developer.hashicorp.com

• Статические ключи. developer.hashicorp.com Набор открытых ключей хранится непосредственно в конфигурации бэкэнда. developer.hashicorp.com
• JWKS. developer.hashicorp.com Настраивается URL набора ключей JSON Web (JWKS) и необязательная цепочка сертификатов. developer.hashicorp.com Ключи будут извлекаться из этой конечной точки для аутентификации. developer.hashicorp.com
• JWKS пары. developer.hashicorp.com Настраивается список URL наборов ключей JSON Web (JWKS) и необязательная цепочка сертификатов для каждого. developer.hashicorp.com Ключи будут извлекаться из каждой конечной точки для аутентификации, останавливаясь на первом наборе для успешной проверки подписи JWT. developer.hashicorp.com