Diese Seite wurde exportiert von Exams Labs Braindumps [ http://blog.examslabs.com ] Exportdatum:Mon Jan 13 4:05:08 2025 / +0000 GMT ___________________________________________________ Titel: ExamsLabs Vault-Associate Prüfungsfragen Real Vault-Associate Practice Dumps [Q32-Q52] --------------------------------------------------- ExamsLabs Vault-Associate Prüfungsfragen | Echte Vault-Associate Practice Dumps Verifizierte Vault-Associate Exam Dumps Q&As - Bieten Sie Vault-Associate mit korrekten Antworten HashiCorp Vault-Associate Exam Syllabus Themen: ThemaDetailsThema 1Authentifizierungsmethoden konfigurieren Beschreiben Sie die Verschlüsselung der von Vault gespeicherten DatenThema 2Beschreiben Sie die Verwendung und den Lebenszyklus von Root-Token Erstellen Sie eine Vault-Richtlinie basierend auf den AnforderungenThema 3Wählen Sie eine geheime Methode basierend auf dem Anwendungsfall Erklären Sie den Zweck einer Lease-IDThema 4Beschreiben Sie Authentifizierungsmethoden Veranschaulichen Sie den Wert der Vault-RichtlinieThema 5Authentifizierungsmethoden konfigurieren Beschreiben Sie die Syntax der Vault-Richtlinie: Thema 6Beschreiben Sie Shamir Secret Sharing und Unsealing Unterscheiden Sie zwischen Service- und Batch-Tokens. Thema 7Vergleichen und Konfigurieren von Vault-Geheimnis-Engines Vergleichen Sie dynamische Geheimnisse mit statischen Geheimnissen und ihren AnwendungsfällenThema 8Unterscheiden Sie zwischen menschlichen und Systemauthentifizierungsmethoden Wählen Sie eine Authentifizierungsmethode je nach Anwendungsfall ausThema 9Kennen Sie Identitäten und Gruppen Erklären Sie den Wert von kurzlebigen, dynamisch generierten Geheimnissen NEUE FRAGE 32Sicherheitsanforderungen verlangen, dass keine Geheimnisse in der Shell-Historie erscheinen. Welcher Befehl erfüllt diese Anforderung nicht? generate-password | vault kv put secret/password value vault kv put secret/password value-itsasecret vault kv put secret/password value=@data.txt vault kv put secret/password value-SSECRET_VALUE Der Befehl, der die Sicherheitsanforderung, dass Geheimnisse nicht in der Shell-Historie erscheinen dürfen, nicht erfüllt, ist B. vault kv put secret/password value-itsasecret. Mit diesem Befehl wird der geheime Wert "itsasecret" in der Key/Value Secrets Engine unter dem Pfad secret/password gespeichert, aber der geheime Wert wird auch in der Shell-Historie angezeigt, auf die andere Benutzer oder böswillige Akteure zugreifen können. Die anderen Befehle sind sicherere Methoden, um Geheimnisse in Vault zu speichern, ohne sie in der Shell-Historie preiszugeben.A). generate-password | vault kv put secret/password value würde eine Pipe verwenden, um die Ausgabe des generate-password-Befehls, bei dem es sich um ein Skript oder ein Tool handeln könnte, das ein Zufallspasswort generiert, an den vault kv put-Befehl weiterzuleiten, der das Passwort in der Key/Value Secrets Engine unter dem Pfad secret/password speichern würde. Das Kennwort wäre nicht in der Shell-Historie sichtbar, sondern nur in den Befehlen.C). vault kv put secret/password value=@data.txt würde die @-Syntax verwenden, um den geheimen Wert aus einer Datei namens data.txt zu lesen, die verschlüsselt oder durch Dateiberechtigungen geschützt sein könnte, und ihn in der Key/Value Secrets Engine unter dem Pfad secret/password speichern. Der Dateiname wäre in der Shell-Historie sichtbar, nicht aber der geheime Wert.D). vault kv put secret/password value-SSECRET_VALUE würde die Syntax -S verwenden, um den geheimen Wert aus der Umgebungsvariablen SECRET_VALUE zu lesen, die in der Shell-Sitzung ein- und ausgeschaltet werden kann, und ihn in der Key/Value Secrets Engine unter dem Pfad secret/password speichern. Der Name der Umgebungsvariablen wäre in der Shell-Historie sichtbar, nicht aber der Wert des Geheimnisses.Referenz:[Write Secrets | Vault | HashiCorp Developer]NEW QUESTION 33Welcher dieser Punkte ist kein Vorteil von dynamischen Geheimnissen? Unterstützt Systeme, die von Haus aus keine Methode zum Ablaufen von Anmeldeinformationen bieten Minimiert den Schaden, der durch den Verlust von Anmeldeinformationen entsteht Gewährleistet, dass Administratoren jedes verwendete Kennwort sehen können Ersetzt mühsame Tools und Praktiken zur Passwortrotation Dynamische Geheimnisse werden bei Bedarf von Vault generiert und haben eine begrenzte Time-to-Live (TTL). Sie gewährleisten nicht, dass Administratoren jedes verwendete Passwort sehen können, da sie oft verschlüsselt und flüchtig sind. Die Vorteile von dynamischen Geheimnissen sind: Sie unterstützen Systeme, die von Haus aus keine Methode zum Ablaufen von Anmeldeinformationen bieten, wie Datenbanken, Cloud-Anbieter, SSH, usw. Sie minimieren den Schaden, der durch den Verlust von Zugangsdaten entstehen kann, da sie kurzlebig sind und leicht gedreht oder widerrufen werden können. Sie ersetzen umständliche Tools und Praktiken zur Passwortrotation, da Vault die Erstellung und den Widerruf von Zugangsdaten automatisch und sicher abwickeln kann. Dies reduziert den betrieblichen Aufwand und die Komplexität der Verwaltung von Geheimnissen.NEUE FRAGE 34Die folgenden drei Richtlinien sind in Vault vorhanden. Was können diese Richtlinien einer Organisation ermöglichen? Trennt die zulässigen Berechtigungen für Aktionen, die mit der Transitgeheimnis-Engine verbunden sind Nichts, da die Mindestberechtigungen zur Durchführung nützlicher Aufgaben nicht vorhanden sind Verschlüsseln, Entschlüsseln und Wiedereinpacken von Daten mit der Transit-Engine in einer einzigen Richtlinie Erstellen eines Transit-Verschlüsselungsschlüssels zum Verschlüsseln, Entschlüsseln und Wiedereinpacken verschlüsselter Daten Die drei Richtlinien, die in Vault existieren, sind:admins: Diese Richtlinie gewährt vollen Zugriff auf alle Geheimnisse und Vorgänge in Vault. Sie kann von Administratoren oder Operatoren verwendet werden, die alle Aspekte von Vault verwalten müssen.default: Diese Richtlinie gewährt Zugriff auf alle Geheimnisse und Operationen in Vault, mit Ausnahme derjenigen, die spezielle Richtlinien erfordern. Sie kann als Ausweichrichtlinie verwendet werden, wenn keine andere Richtlinie passt.transit: Diese Richtlinie gewährt nur Zugriff auf die Transit-Secrets-Engine, die kryptografische Funktionen für Daten während des Transports durchführt. Sie kann von Anwendungen oder Diensten verwendet werden, die Daten mit Vault verschlüsseln oder entschlüsseln müssen.Diese Richtlinien ermöglichen es einer Organisation, nützliche Aufgaben auszuführen, wie z. B.:Verschlüsseln, Entschlüsseln und Wiederverschlüsseln von Daten mit der Transit-Engine in einer einzigen Richtlinie: Diese Richtlinie gewährt Zugriff sowohl auf die Transitgeheimnis-Engine als auch auf die Standardrichtlinie, die die Durchführung beliebiger Operationen mit beliebigen Geheimnissen in Vault ermöglicht: Diese Richtlinie gewährt nur Zugriff auf die Transitgeheimnis-Engine und die zugehörigen Schlüssel, die zum Ver- und Entschlüsseln von Daten im Transit unter Verwendung von AES-GCM mit einem 256-Bit-AES-Schlüssel oder anderen unterstützten Schlüsseltypen verwendet werden.Separate Berechtigungen für Aktionen im Zusammenhang mit der Transitgeheimnis-Engine: Diese Richtlinie gewährt nur Zugriff auf bestimmte Aktionen im Zusammenhang mit der Transitgeheimnis-Engine, z. B. das Erstellen von Schlüsseln oder das Einpacken von Anfragen. Sie gewährt keinen Zugriff auf andere Vorgänge oder Geheimnisse in Vault.NEUE FRAGE 35Welcher der folgenden Punkte beschreibt die Verwendung einer Identitätsgruppe? Einschränkung der Richtlinien, die ansonsten für eine Entität in der Gruppe gelten würden Wenn sie die Anmeldeinformationen für eine ganze Reihe von Entitäten gleichzeitig widerrufen möchten Die Verwendung von Token überprüfen Konsistente Anwendung desselben Satzes von Richtlinien auf eine Sammlung von Entitäten Eine Identitätsgruppe ist eine Sammlung von Entitäten, die einige gemeinsame Attribute aufweisen. Einer Identitätsgruppe können eine oder mehrere Richtlinien zugewiesen werden, die an alle Mitglieder der Gruppe vererbt werden. Eine Identitätsgruppe kann auch Untergruppen haben, die die Richtlinien und Attribute für eine Untergruppe von Entitäten weiter verfeinern können.1 Einer der Anwendungsfälle für eine Identitätsgruppe ist die konsistente Anwendung desselben Satzes von Richtlinien auf eine Sammlung von Entitäten. Ein Unternehmen kann zum Beispiel verschiedene Teams oder Abteilungen haben, wie z. B. Technik, Vertrieb oder Marketing. Jedes Team kann seine eigene Identitätsgruppe haben, mit Richtlinien, die den Zugriff auf die Geheimnisse und Ressourcen gewähren, die für ihre Arbeit relevant sind. Durch die Erstellung einer Identitätsgruppe für jedes Team kann das Unternehmen sicherstellen, dass die Personen, die zu den einzelnen Teams gehören, über die gleichen Zugriffsrechte und Berechtigungen verfügen, unabhängig davon, welche Authentifizierungsmethode sie für die Anmeldung bei Vault verwenden. Referenz: Identität: Entitäten und Gruppen | Vault | HashiCorp Developer, vault_identity_group | Ressourcen | hashicorp/vault | Terraform | Terraform RegistryNEW FRAGE 36Wenn Sie Integrated Storage verwenden, welche der folgenden Maßnahmen sollten Sie ergreifen, um einen möglichen Datenverlust zu verhindern? Failover auf einen Standby-Knoten Snapshot verwenden Audit-Protokolle verwenden Serverprotokolle verwenden Integrated Storage ist ein Raft-basiertes Speicher-Backend, das es Vault ermöglicht, seine Daten intern zu speichern, ohne auf ein externes Speichersystem angewiesen zu sein. Außerdem kann Vault damit im Hochverfügbarkeitsmodus mit automatischer Leader-Wahl und Failover betrieben werden. Der integrierte Speicher ist jedoch nicht immun gegen Datenverlust oder -beschädigung aufgrund von Hardwareausfällen, Netzwerkpartitionen oder menschlichen Fehlern. Es wird daher empfohlen, die Snapshot-Funktion zu verwenden, um die Vault-Daten regelmäßig oder bei Bedarf zu sichern und wiederherzustellen. Ein Snapshot ist eine zeitpunktbezogene Erfassung der gesamten Vault-Daten, einschließlich der verschlüsselten Geheimnisse, der Konfiguration und der Metadaten. Snapshots können mit dem Befehl vault operator raft snapshot oder dem API-Endpunkt sys/storage/raft/snapshot erstellt und wiederhergestellt werden. Snapshots sind verschlüsselt und können nur mit einem Quorum von Entsiegelungs- oder Wiederherstellungsschlüsseln wiederhergestellt werden. Snapshots sind außerdem portabel und können für die Migration von Daten zwischen verschiedenen Vault-Clustern oder Speicher-Backends verwendet werden. Referenz: https://developer.hashicorp.com/vault/docs/concepts/integrated-storage1, https://developer.hashicorp.com/vault/docs/commands/operator/raft/snapshot2, https://developer.hashicorp.com/vault/api-docs/system/storage/raft/snapshot3NEW FRAGE 37Wenn eine Authentifizierungsmethode deaktiviert wird, verlieren alle über diese Methode authentifizierten Benutzer den Zugriff. Richtig Falsch Die Aussage ist wahr. Wenn eine Authentifizierungsmethode deaktiviert wird, verlieren alle Benutzer, die über diese Methode authentifiziert wurden, den Zugriff. Dies liegt daran, dass die von der Authentifizierungsmethode ausgestellten Token automatisch widerrufen werden, wenn die Authentifizierungsmethode deaktiviert wird. Dies verhindert, dass die Benutzer mit den widerrufenen Token irgendwelche Operationen im Vault durchführen können. Um wieder Zugriff zu erhalten, müssen sich die Benutzer erneut mit einer anderen Authentifizierungsmethode authentifizieren, die aktiviert und mit den entsprechenden Richtlinien versehen ist. Referenz: Auth Methods | Vault | HashiCorp Developer, auth disable - Command | Vault | HashiCorp DeveloperNEW QUESTION 38Welche Vault Secret Engine kann verwendet werden, um Ihre eigene interne Zertifizierungsstelle zu erstellen? Transit PKI PostgreSQL Generisch Die geheime Vault-Engine, mit der Sie Ihre eigene interne Zertifizierungsstelle erstellen können, ist die PKI-Geheimnis-Engine. Die PKI-Secret-Engine generiert dynamische X.509-Zertifikate nach Bedarf, ohne dass manuelle Prozesse wie die Generierung von privaten Schlüsseln und CSRs, die Einreichung bei einer CA und das Warten auf die Überprüfung und Signierung erforderlich sind. Die PKI-Geheimdienst-Engine kann als Stammzertifizierungsstelle oder Zwischenzertifizierungsstelle fungieren und Zertifikate für verschiedene Zwecke ausstellen, z. B. TLS, Code Signing, E-Mail-Verschlüsselung usw. Die PKI-Secret-Engine kann auch den Lebenszyklus von Zertifikaten verwalten, z. B. Rotation, Widerruf, Erneuerung und CRL-Erstellung. Die PKI Secret Engine kann auch mit externen Zertifizierungsstellen wie Venafi oder Entrust integriert werden, um die Ausstellung und Verwaltung von Zertifikaten zu delegieren. Referenz: PKI - Secrets Engines | Vault | HashiCorp Developer, Build Your Own Certificate Authority (CA) | Vault - HashiCorp LearnNEW QUESTION 39Bei der Erstellung einer Richtlinie wurde ein Fehler ausgelöst: Welche Aussage beschreibt die Lösung für dieses Problem? Ersetzen Sie write durch create in der Liste der Fähigkeiten. Sie können keinen Platzhalter (" * ") im Pfad verwenden sudo ist keine Fähigkeit Der Fehler wurde ausgelöst, weil der Richtliniencode eine ungültige Fähigkeit, nämlich "write", enthält. Die gültigen Fähigkeiten für eine Richtlinie sind "create", "read", "update", "delete", "list" und "sudo". Die Fähigkeit "write" wird von Vault nicht erkannt und sollte durch "create" ersetzt werden, mit der neue Geheimnisse erstellt oder bestehende überschrieben werden können. Die anderen Aussagen sind nicht korrekt, da der Platzhalter (*) und die sudo-Fähigkeit beide in einer Richtlinie gültig sind. Der Platzhalter passt auf eine beliebige Anzahl von Zeichen innerhalb eines Pfadsegments, und die sudo-Fähigkeit ermöglicht die Durchführung bestimmter Operationen, die Root-Rechte erfordern.Referenz:[Policy Syntax | Vault | HashiCorp Developer][Policy Syntax | Vault | HashiCorp Developer]NEW QUESTION 40Ein Benutzer gibt den folgenden cURL-Befehl aus, um Daten mit der Transit-Engine und dem Vault AP zu verschlüsseln:Welche payload.json-Datei hat den richtigen Inhalt? Die payload.json-Datei mit dem richtigen Inhalt ist C. Diese Datei enthält ein JSON-Objekt mit einem einzigen Schlüssel, "plaintext", und einem Wert, der die base64-kodierte Zeichenfolge der zu verschlüsselnden Daten ist. Dies ist das Format, das die Vault-API für den Transitverschlüsselungsendpunkt erwartet1. Die anderen Dateien sind nicht korrekt, weil sie entweder den falschen Schlüsselnamen, das falsche Wertformat oder die falsche JSON-Syntax haben.Referenz:Encrypt Data - Transit Secrets Engine | Vault | HashiCorp DeveloperNEUE FRAGE 41Beantworten Sie die folgende Frage anhand dieses Screenshots:Wann werden Ihnen diese Optionen in der GUI angezeigt? Aktivieren von Richtlinien Aktivieren von Authentifizierungs-Engines Aktivieren von Secret Engines Aktivieren von Authentifizierungsmethoden Dieser Screenshot wird angezeigt, wenn Sie Authentifizierungsmethoden in der grafischen Benutzeroberfläche aktivieren. Authentifizierungsmethoden sind die Methoden, mit denen sich Benutzer und Anwendungen bei Vault authentifizieren. Vault unterstützt viele verschiedene Authentifizierungsmethoden, einschließlich Benutzername und Passwort, GitHub und mehr. Sie können eine oder mehrere Authentifizierungsmethoden aus dem Raster der Optionen aktivieren, die in drei Kategorien unterteilt sind: Allgemein, Cloud und Infra. Jede Option hat einen Namen, eine Beschreibung und ein Logo. Sie können Authentifizierungsmethoden auch über die Vault-Befehlszeilenschnittstelle (CLI) oder die API aktivieren.Das Aktivieren von Richtlinien, Authentifizierungs-Engines und geheimen Engines ist eine andere Aufgabe, die mit diesem Screenshot nichts zu tun hat. Richtlinien sind Regeln, die den Zugriff auf Vault-Ressourcen regeln, z. B. Geheimnisse, Authentifizierungsmethoden und Prüfgeräte. Authentifizierungs-Engines sind Komponenten von Vault, die die Authentifizierung durchführen und den authentifizierten Entitäten Richtlinien zuweisen. Secret Engines sind Komponenten von Vault, die Daten speichern, erzeugen oder verschlüsseln. Referenz:[Authentifizierung | Vault | HashiCorp Developer][Richtlinien | Vault | HashiCorp Developer][Authentifizierung | Vault | HashiCorp Developer][Secrets Engines | Vault | HashiCorp Developer]NEW QUESTION 42Welche der folgenden Vorteile bietet die Verwendung des Vault Agent? Der Vault Agent ermöglicht eine zentrale Konfiguration der Secrets Engines von Anwendungen Der Vault Agent erkennt automatisch, welcher Authentifizierungsmechanismus zu verwenden ist. Vault Agent erzwingt Mindestverschlüsselungsstufen, die eine Anwendung verwenden kann Vault Agent verwaltet automatisch den Lebenszyklus von zwischengespeicherten Token und Leases Vault Agent ist ein Client-Daemon, der die folgenden Funktionen bietet:Auto-Auth - Automatische Authentifizierung bei Vault und Verwaltung des Token-Erneuerungsprozesses für lokal abgerufene dynamische Geheimnisse.API Proxy - Ermöglicht dem Vault Agent, als Proxy für die API von Vault zu fungieren, wobei er optional das Auto-Auth-Token verwendet (oder dessen Verwendung erzwingt).Caching - Ermöglicht das clientseitige Caching von Antworten, die neu erstellte Token enthalten, sowie von Antworten, die geleaste Geheimnisse enthalten, die aus diesen neu erstellten Token generiert wurden. Templating - Ermöglicht das Rendering von benutzerdefinierten Templates durch den Vault Agent unter Verwendung des vom Auto-Auth-Schritt generierten Tokens.Process Supervisor Mode - Führt einen Kindprozess mit Vault-Geheimnissen aus, die als Umgebungsvariablen injiziert werden.Einer der Vorteile der Verwendung des Vault Agent ist, dass er den Lebenszyklus von zwischengespeicherten Tokens und Leases automatisch verwaltet. Das bedeutet, dass der Agent die Logik für die Erneuerung und den Entzug von Token sowie die Logik für die Erneuerung und den Entzug von Leases für die vom Agenten zwischengespeicherten Geheimnisse übernimmt. Dadurch wird der Aufwand für die Anwendungsentwickler und -betreiber verringert und sichergestellt, dass die Token und Geheimnisse immer gültig und aktuell sind. Referenz: Vault Agent | Vault | HashiCorp Developer, Caching - Vault Agent | Vault | HashiCorp DeveloperNEW QUESTION 43Wo können Sie die Konfiguration des Vault-Siegels festlegen? Wählen Sie zwei richtige Antworten. Cloud-Anbieter KMS Vault CLI Vault-Konfigurationsdatei Umgebungsvariablen Vault-API Die Konfiguration des Vault-Siegels kann auf zwei Arten festgelegt werden: über die Vault-Konfigurationsdatei oder über Umgebungsvariablen. Die Vault-Konfigurationsdatei ist eine Textdatei, die die Einstellungen und Optionen für Vault enthält, z. B. das Speicher-Backend, den Listener, die Telemetrie und das Seal. Die Seal-Stanza in der Konfigurationsdatei gibt den Siegel-Typ und die Parameter an, die für den zusätzlichen Datenschutz verwendet werden sollen, z. B. die Verwendung von HSM- oder Cloud-KMS-Lösungen zum Ver- und Entschlüsseln des Root-Schlüssels. Die Siegelkonfiguration kann auch über Umgebungsvariablen festgelegt werden, die dann Vorrang vor den Werten in der Konfigurationsdatei haben. Den Umgebungsvariablen wird das Präfix VAULT_SEAL_ vorangestellt, gefolgt von der Siegelart und dem Parameternamen. VAULT_SEAL_AWSKMS_REGION legt zum Beispiel die Region für das AWS KMS-Siegel fest. Referenz: Siegel - Konfiguration | Vault | HashiCorp Developer, Umgebungsvariablen | Vault | HashiCorp DeveloperNEUE FRAGE 44Welcher Schlüssel hilft Ihnen bei der Suche nach den Pfaden, auf die das Token zugreifen kann, wenn Sie sich die Vault-Token-Details ansehen? Meta Pfad Policies Accessor Wenn Sie sich die Details des Vault-Tokens ansehen, hilft Ihnen der Richtlinienschlüssel, die Pfade zu finden, auf die das Token zugreifen kann. Richtlinien sind ein deklarativer Weg, um den Zugriff auf bestimmte Pfade und Operationen in Vault zu erlauben oder zu verbieten. Richtlinien werden in HCL oder JSON geschrieben und sind Token durch ihren Namen zugeordnet. Richtlinien sind standardmäßig verweigert, so dass eine leere Richtlinie keine Berechtigung im System gewährt. Einem Token können eine oder mehrere Richtlinien zugeordnet sein, und die effektive Richtlinie ist die Vereinigung aller einzelnen Richtlinien. Sie können die Token-Details mit dem Befehl vault token lookup oder dem API-Endpunkt auth/token/lookup anzeigen. Die Ausgabe zeigt den Richtlinienschlüssel mit einer Liste der Richtliniennamen, die mit dem Token verknüpft sind. Sie können den Inhalt einer Richtlinie auch mit dem Befehl vault policy read oder mit dem API-Endpunkt sys/policy einsehen. In der Ausgabe wird der Regelschlüssel mit der HCL- oder JSON-Darstellung der Richtlinie angezeigt. Die Regeln geben die Pfade und die Funktionen (wie Erstellen, Lesen, Aktualisieren, Löschen, Auflisten usw.) an, die die Richtlinie erlaubt oder verweigert. Referenz: https://developer.hashicorp.com/vault/docs/concepts/policies4, https://developer.hashicorp.com/vault/docs/commands/token/lookup5, https://developer.hashicorp.com/vault/api-docs/auth/token#lookup-a-token6, https://developer.hashicorp.com/vault/docs/commands/policy/read7, https://developer.hashicorp.com/vault/api-docs/system/policy8NEW FRAGE 45Sie führen eine große Anzahl von Authentifizierungen in kurzer Zeit durch. Sie haben einen langsamen Durchsatz bei der Tokengenerierung zu verzeichnen. Wie würden Sie dieses Problem lösen? Erhöhen Sie die Time-to-Live für Service-Tokens Batch-Tokens implementieren Eine Quote für die Ratenbegrenzung einrichten Reduzieren Sie die Anzahl der Richtlinien, die den Token zugeordnet sind. Batch-Tokens sind eine Art von Token, die nicht im Backend von Vault gespeichert werden, sondern verschlüsselte Blobs sind, die genügend Informationen enthalten, um Vault-Aktionen durchzuführen. Batch-Tokens sind extrem leichtgewichtig und skalierbar und können den Durchsatz bei der Token-Generierung verbessern. Batch-Tokens eignen sich für hochvolumige und kurzlebige Workloads wie Container oder serverlose Funktionen, die kurzlebige und nicht erneuerbare Tokens erfordern. Batch-Tokens können mit dem Flag -type=batch im Befehl vault token create oder durch Konfigurieren des Parameters token_type in den Rollen- oder Mount-Optionen der Auth-Methode erstellt werden. Batch-Tokens haben im Vergleich zu Service-Tokens einige Einschränkungen, wie das Fehlen von Erneuerungs-, Widerrufs-, Auflistungs-, Accessor- und Cubbyhole-Funktionen. Daher sollten Batch-Tokens nur mit Vorsicht und nur dann verwendet werden, wenn die Kompromisse akzeptabel sind. Referenz: https://developer.hashicorp.com/vault/tutorials/tokens/batch-tokens1, https://developer.hashicorp.com/vault/docs/commands/token/create2, https://developer.hashicorp.com/vault/docs/concepts/tokens#token-types3NEW FRAGE 46Welche Umgebungsvariable setzt die Standardadresse des Vault-Servers in der CLI außer Kraft? VAULT_ADDR VAULT_HTTP_ADORESS VAULT_ADDRESS VAULT _HTTPS_ ADRESSE Die Umgebungsvariable VAULT_ADDR überschreibt die Standardadresse des Vault-Servers der CLI. Die Umgebungsvariable VAULT_ADDR gibt die Adresse des Vault-Servers an, die für die Kommunikation mit Vault von anderen Anwendungen oder Prozessen verwendet wird. Wenn Sie diese Variable setzen, müssen Sie die Adresse des Vault-Servers nicht fest in Ihrem Code oder Ihren Konfigurationsdateien kodieren, und Sie können auch verschiedene Adressen für unterschiedliche Umgebungen oder Szenarien verwenden. So können Sie beispielsweise einen lokalen Entwicklungsserver für Testzwecke und einen Produktionsserver für die Bereitstellung Ihrer Anwendung verwenden. Referenz: Befehle (CLI) | Vault | HashiCorp Developer, Vault Agent - Geheimnisse als Umgebungsvariablen | Vault | HashiCorp DeveloperNEW QUESTION 47Der Befehl vault lease renew erhöht die Lease-Zeit von: Die aktuelle Zeit Das Ende des Leasings Der Befehl "vault lease renew" erhöht die Lease-Zeit ab dem aktuellen Zeitpunkt, nicht ab dem Ende des Leases. Das bedeutet, dass der Benutzer eine bestimmte Restlaufzeit des Leasings anfordern kann, die als Inkrement bezeichnet wird. Dabei handelt es sich nicht um ein Inkrement am Ende der aktuellen TTL, sondern um ein Inkrement ab dem aktuellen Zeitpunkt. Zum Beispiel würde vault lease renew -increment=3600 my-lease-id verlangen, dass die TTL des Leases auf 1 Stunde (3600 Sekunden) ab jetzt angepasst wird. Dadurch, dass das Inkrement zum aktuellen Zeitpunkt und nicht zum Ende der Lease gesetzt wird, können Benutzer die Länge der Leases verringern, wenn sie die Zugangsdaten nicht für die gesamte mögliche Lease-Periode benötigen, so dass die Zugangsdaten früher ablaufen und die Ressourcen früher bereinigt werden können. Das angeforderte Inkrement ist völlig unverbindlich. Das Backend, das für das Geheimnis verantwortlich ist, kann es komplett ignorieren1. Referenz:Lease, Renew, and Revoke | Vault | HashiCorp DeveloperNEW QUESTION 48Welche der folgenden Aussagen über Vault-Richtlinien sind zutreffend? Wählen Sie zwei richtige Antworten. Die Standardrichtlinie kann nicht geändert werden. Sie müssen YAML verwenden, um Richtlinien zu definieren Richtlinien bieten eine deklarative Möglichkeit, den Zugriff auf bestimmte Pfade und Operationen im Vault zu erlauben oder zu verbieten Der Vault muss neu gestartet werden, damit eine Richtlinienänderung wirksam wird Richtlinien verweigern standardmäßig (eine leere Richtlinie gewährt keine Berechtigung) Vault-Richtlinien werden im HCL- oder JSON-Format geschrieben und sind namentlich mit Token oder Rollen verbunden. Richtlinien definieren die Berechtigungen und Einschränkungen für den Zugriff auf und die Durchführung von Operationen mit bestimmten Pfaden und Geheimnissen in Vault. Richtlinien sind standardmäßig verweigert, was bedeutet, dass eine leere Richtlinie keine Berechtigung im System gewährt und jede Anfrage, die nicht ausdrücklich durch eine Richtlinie erlaubt ist, implizit verweigert wird1. Richtlinien sind pfadbasiert, was bedeutet, dass sie den Anfragepfad mit einer Reihe von Regeln abgleichen, die die erlaubten oder verweigerten Fähigkeiten spezifizieren, wie z. B. Erstellen, Lesen, Aktualisieren, Löschen, Liste, sudo usw.2 Richtlinien sind additiv, was bedeutet, dass, wenn einem Token oder einer Rolle mehrere Richtlinien zugeordnet sind, die effektive Richtlinie die Vereinigung aller einzelnen Richtlinien ist. Im Falle eines Konflikts wird die erlaubteste Fähigkeit gewährt.3 Richtlinien können globale Muster wie * und + verwenden, um mehrere Pfade oder Segmente mit einer einzigen Regel abzugleichen. Beispielsweise passt der Pfad "secret/*" auf jeden Pfad, der mit secret/ beginnt, und der Pfad "secret/+/config" auf jeden Pfad, der zwei Segmente nach secret/ enthält und mit config endet.4 Richtlinien können Schablonen verwenden, um bestimmte Werte in die Regeln zu interpolieren, z. B. Identitätsinformationen, Zeit, Zufälligkeit usw. Der Pfad "secret/{{identity.entity.id}}/*" entspricht beispielsweise jedem Pfad, der mit secret/ beginnt, gefolgt von der Entity-ID des Antragstellers.5 Richtlinien können mit den Vault-Policy-Befehlen oder den sys/policy-API-Endpunkten verwaltet werden. Über diese Schnittstellen können Sie Richtlinien schreiben, lesen, auflisten und löschen.6 Die Standardrichtlinie ist eine integrierte Richtlinie, die standardmäßig mit allen Token verknüpft ist und nicht gelöscht werden kann. Die Standardrichtlinie kann jedoch mit dem Befehl vault policy write oder dem API-Endpunkt sys/policy geändert werden. Die Standard-Policy bietet allgemeine Berechtigungen für Token, wie z.B. sich selbst zu erneuern, ihre eigenen Informationen nachzuschlagen, Response-Wrapping-Tokens zu erstellen und zu verwalten, usw.7 Sie müssen nicht YAML verwenden, um Policies zu definieren, da Vault sowohl HCL- als auch JSON-Formate unterstützt. HCL ist eine menschenfreundliche Konfigurationssprache, die auch JSON-kompatibel ist, was bedeutet, dass JSON auch als gültige Eingabe für Richtlinien verwendet werden kann.8 Vault muss nicht neu gestartet werden, damit eine Richtlinienänderung wirksam wird, da die Richtlinien im Speicher gespeichert und ausgewertet werden. Jede Änderung einer Richtlinie wird sofort im System reflektiert, und alle Token oder Rollen, denen diese Richtlinie zugeordnet ist, sind von der Änderung betroffen.NEUE FRAGE 49Vault unterstützt welche Art der Konfiguration für quellenbeschränkte Token? Cloud-gebundene Token Domänengebundene Token CIDR-gebundene Token Zertifikatsgebundene Token Vault unterstützt CIDR-gebundene Token, d. h. Token, die nur von einer bestimmten Gruppe von IP-Adressen oder Netzwerkbereichen verwendet werden können. Dies ist eine Möglichkeit, den Umfang und die Exposition eines Tokens einzuschränken, falls es kompromittiert oder durchgesickert ist. CIDR-gebundene Token können durch Angabe des Parameters bound_cidr_list beim Erstellen oder Aktualisieren einer Token-Rolle oder durch Verwendung der Option -bound-cidr beim Erstellen eines Tokens mit dem Befehl vault token create erstellt werden. CIDR-gebundene Token können auch von einigen Authentifizierungsmethoden wie AWS oder Kubernetes erstellt werden, die die Token automatisch an die Quell-IP oder das Netzwerk des Clients binden können. Referenz: Token - Auth Methods | Vault | HashiCorp Developer, vault token create - Command | Vault | HashiCorp DeveloperNEW QUESTION 50Ihr DevOps-Team würde gerne VMs in GCP über eine CICD-Pipeline bereitstellen. Sie würden gerne Vault integrieren, um die vom Tool verwendeten Anmeldeinformationen zu schützen. Welche Secrets Engine würden Sie empfehlen? Google Cloud Secrets Engine Engine für Identitätsgeheimnisse Key/Value Secrets Engine Version 2 SSH-Geheimdienst-Engine Die Google Cloud Secrets Engine ist die beste Option für das DevOps-Team, um VMs in GCP über eine CICD-Pipeline bereitzustellen und Vault zum Schutz der vom Tool verwendeten Anmeldeinformationen zu integrieren. Die Google Cloud Secrets Engine kann dynamisch GCP-Service-Kontoschlüssel oder OAuth-Tokens basierend auf IAM-Richtlinien generieren, die zur Authentifizierung und Autorisierung des CICD-Tools für den Zugriff auf GCP-Ressourcen verwendet werden können. Die Berechtigungsnachweise werden automatisch widerrufen, wenn sie nicht mehr verwendet werden oder die Lease abläuft, um sicherzustellen, dass die Berechtigungsnachweise kurzlebig und sicher sind. Das DevOps-Team kann Rollensätze oder statische Konten in Vault konfigurieren, um den Umfang und die Berechtigungen der Anmeldeinformationen zu definieren, und die Vault-API oder CLI verwenden, um Anmeldeinformationen bei Bedarf anzufordern. Die Google Cloud Secrets Engine unterstützt auch die Generierung von Zugriffstoken für verkörperte Servicekonten, was für die Delegierung des Zugriffs auf andere Servicekonten nützlich sein kann, ohne deren Schlüssel zu speichern oder zu verwalten.1 Die Identity Secrets Engine ist für diesen Anwendungsfall keine gute Option, da sie keine GCP-Anmeldeinformationen generiert, sondern Identitäts-Token, die für den Zugriff auf andere Vault Secrets Engines oder Namespaces verwendet werden können.2 Die Key/Value Secrets Engine Version 2 ist ebenfalls keine gute Option, da sie keine dynamischen Anmeldeinformationen generiert, sondern statische Geheimnisse speichert und verwaltet, die der Benutzer bereitstellt3. Die SSH Secrets Engine ist ebenfalls keine gute Option, da sie keine GCP-Anmeldeinformationen generiert, sondern SSH-Schlüssel oder OTPs, die für den Zugriff auf Remote