HashiCorp Vault 动态凭证与租户密钥治理（2025）

# HashiCorp Vault 动态凭证与租户密钥治理（2025） ## 一、租户与命名空间 - 租户：以命名空间隔离租户；独立策略与路径（租户）。 - 授权：最小权限策略，仅允许必要的读写路径。 ## 二、动态凭证与轮换 - 动态凭证：为数据库/云服务签发短期凭证（动态凭证），自动过期。 - 密钥轮换：定期轮换密钥与证书；记录版本与撤销列表（密钥轮换）。 ## 三、租期与续期 - TTL 与租约：为凭证设置 TTL；可控续期窗口，避免永久凭证。 - 回收：过期自动回收；异常时主动撤销。 ## 四、审计与合规 - 审计：开启审计日志；记录颁发/续期/撤销（审计）。 - 合规：满足法规与内部基线；密钥存储加固。 ## 注意事项 - 关键词（Vault、动态凭证、租户、密钥轮换、审计）与正文一致。 - 分类为“安全/密钥/Vault”，不超过三级。 - 参数需在安全评审与演练中验证。