{"id":18942426,"url":"https://github.com/exitfound/vault-database-creds-example","last_synced_at":"2025-07-29T18:17:16.974Z","repository":{"id":247261407,"uuid":"825365419","full_name":"exitfound/vault-database-creds-example","owner":"exitfound","description":"Пример для демонстрации работы Database Secret Engine в Vault с БД на примере PostgreSQL.","archived":false,"fork":false,"pushed_at":"2024-07-07T16:57:55.000Z","size":7,"stargazers_count":1,"open_issues_count":0,"forks_count":0,"subscribers_count":1,"default_branch":"main","last_synced_at":"2024-12-31T23:13:08.001Z","etag":null,"topics":[],"latest_commit_sha":null,"homepage":"","language":"Python","has_issues":true,"has_wiki":null,"has_pages":null,"mirror_url":null,"source_name":null,"license":null,"status":null,"scm":"git","pull_requests_enabled":true,"icon_url":"https://github.com/exitfound.png","metadata":{"files":{"readme":"README.md","changelog":null,"contributing":null,"funding":null,"license":null,"code_of_conduct":null,"threat_model":null,"audit":null,"citation":null,"codeowners":null,"security":null,"support":null,"governance":null,"roadmap":null,"authors":null,"dei":null,"publiccode":null,"codemeta":null}},"created_at":"2024-07-07T15:30:51.000Z","updated_at":"2024-09-08T12:38:55.000Z","dependencies_parsed_at":"2024-07-07T18:24:13.006Z","dependency_job_id":null,"html_url":"https://github.com/exitfound/vault-database-creds-example","commit_stats":null,"previous_names":["exitfound/vault-database-creds-example"],"tags_count":0,"template":false,"template_full_name":null,"repository_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/exitfound%2Fvault-database-creds-example","tags_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/exitfound%2Fvault-database-creds-example/tags","releases_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/exitfound%2Fvault-database-creds-example/releases","manifests_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/exitfound%2Fvault-database-creds-example/manifests","owner_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/owners/exitfound","download_url":"https://codeload.github.com/exitfound/vault-database-creds-example/tar.gz/refs/heads/main","host":{"name":"GitHub","url":"https://github.com","kind":"github","repositories_count":239942758,"owners_count":19722330,"icon_url":"https://github.com/github.png","version":null,"created_at":"2022-05-30T11:31:42.601Z","updated_at":"2022-07-04T15:15:14.044Z","host_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub","repositories_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories","repository_names_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repository_names","owners_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/owners"}},"keywords":[],"created_at":"2024-11-08T12:32:49.857Z","updated_at":"2025-02-21T01:42:42.880Z","avatar_url":"https://github.com/exitfound.png","language":"Python","funding_links":[],"categories":[],"sub_categories":[],"readme":"# Vault Database Dynamic/Static Creds Example\n\n## Описание:\n\nЭто простейший пример, реализованный на Python, который забирает учетные данные из Vault и подставляет их в момент подключения к БД PostgreSQL. Поддерживает как динамические, так и статические секреты Vault в рамках подсистемы секретов Database. Но самое главное то, что, поскольку скрипт изначально крутится в бесконечном цикле, мы можем явным образом увидеть процесс ротации учетных данных в Vault, когда истекает срок жизни пароля или он был изменен вручную. И при этом приложение заново осуществялет запрос к Vault, получает вновь валидные данные и снова подключается к БД. Так что это сугубо ознакомительный пример с целью более детально понять, как приложение будет работать в сочетании с такими инструментами как Vault и PostgreSQL. Пример не предназначен для реального использования. И в целом был создан в рамках написания статьи, состаящей из двух частей ([1](https://telegra.ph/Integraciya-HashiCorp-Vault-s-BD-na-primere-PostgreSQL-CHast-5-06-13) и [2](https://telegra.ph/Integraciya-HashiCorp-Vault-s-BD-na-primere-PostgreSQL-CHast-52-06-29)), в которой подробно рассказывается о всевозможных настройках по интеграции между двумя вышеупомянутыми сервисами.\n\n## Подготовка к запуску:\n\nМинимальный набор действий, необходимый для запуска примера:\n\n```\ngit clone https://github.com/exitfound/vault-database-creds-example.git\npip3 install -r requirements.txt\npython3 example.py\n```\n\nПеред запуском вам также нужно будет изменить содержимое файла `.env`. Укажите через HTTP / HTTPS адрес своего сервера Vault (вместе с портом, если не используете TLS) и токен, у которого есть доступ к подсистеме секретов Database, и который может получить учетные данные по пути `\u003cdatabase\u003e/\u003ccreds_or_static-creds\u003e/\u003cname_of_role\u003e`. Ниже представлен соответствующий пример файла `.env`:\n\n```\nVAULT_TOKEN = \"Your_vault_token_there\"\nVAULT_ADDR = \"http://vault.your.domain:8200\"\nDB_PORT = \"5432\"\nDB_HOST = \"localhost\"\nDB_NAME = \"postgres\"\n```\n\n## Работа со скриптом:\n\nКак уже было отмечено ранее запуск осуществляется следующим образом:\n\n```\npython3 example.py\n```\n\nПосле этого вам будет предложено ввести три значения:\n\n- Путь к подсистеме секретов базы данных (Secret Engine от Vault). По умолчанию это database;\n\n- Тип учетных данных (Dynamic или Static Creds), поскольку скрипт поддерживает оба варианта. По умолчанию это creds, то бишь динамический вариант;\n\n- Непосредственно само имя роли, которая была создана во время настройки Vault для интеграции с БД Postgresql. По умолчанию это postgresql-role;\n\nПо сути это аналог двух консольных команд в Vault:\n\n```\nvault read database/creds/postgresql-role - для получения динамических учетных данных;\n```\n\n```\nvault read database/static-creds/postgresql-role - для получения статических учетных данных;\n```\n\nПримечание: Важно понимать, что database как и postgresql-role, это просто имена, и в вашем случае путь может отличаться.\n\nПосле чего, в случае валидности всех введенных данных, а также того, что указано в файле `.env`, скрипт начнет свою работу в бесконечном цикле. В нём же будет предоставлена базовая информация на предмет того, какой сейчас пользователь и пароль от Vault используются. Если вы желаете прервать работу скрипта, нажмите следующее сочетание клавиш:\n\n```\nCtrl + C\n```\n\nЕсли вы хотите в явном виде увидеть как приложение потеряет доступ к базе из-за того, что пароль протух, а потом вновь обратится к Vault за обновленным вариантом, и снова подключится к базе, вы можете выставить крайне низкий TTL при настройке Vault и просто подождать или использовать следующие команды в соседнем окне во время работы скрипта:\n\n```\nvault lease revoke -prefix database/creds/postgresql-role - условный rotate для динамических учетных данных;\n```\n\n```\nvault write -f database/rotate-role/postgresql-role - rotate для статических учетных данных;\n```\n\nПодробнее обо всех командах по работе с динамическими / статическими учетными данными в рамках работы с БД можно найти в статье по ссылкам выше.\n\n## Важное замечание:\n\nВ скрипте я постарался обработать хотя бы какие-то базовые ошибки в виде исключений, которые могут возникнуть. Однако в случае с psycopg возникла проблема в том плане, что в их официальной документации нет адекватной обработки на тот случай, когда у нас endpoint БД недоступен. Из-за этого (как костыль) пришлось ошибку конвертировать в строку и по ней уже что-то определять. Поэтому если вы укажите базу, у которой нет связи с Vault, но которая при этом является доступной, цикл будет отрабатывать одновременно с сообщением об ошибке, и с тем, что данные от Vault успешно были обновлены. Этот казус я устранить не смог. Причем схожую проблему я находил и у других людей. Не то чтобы это критично и при валидности узлов это никак не повлияет на демонстрацию как такого, но предупредить вас мне всё же хотелось бы. Такие дела.\n","project_url":"https://awesome.ecosyste.ms/api/v1/projects/github.com%2Fexitfound%2Fvault-database-creds-example","html_url":"https://awesome.ecosyste.ms/projects/github.com%2Fexitfound%2Fvault-database-creds-example","lists_url":"https://awesome.ecosyste.ms/api/v1/projects/github.com%2Fexitfound%2Fvault-database-creds-example/lists"}