应该看看这个：

https://vaultproject.io/docs/secrets/ssh/index.html

基本上 Vault（注意回答时间）可以为人们创建一个用于 SSH 的一次性凭证。

它的大多数安全后端都集中在持续轮换的一次性或短期租赁凭证上，而 Vault 成为中央令牌自动售货机。

我花了大约 1 个月的时间设置了一个深入的 PoC Vault 服务器，托管在 Kubernetes 上，99% 的基础架构即代码。（Kubernetes yamls、配置、脚本、Vault Infrastructure Provisioning Secrets（加密），都作为代码存储在 Git 中。）

我的主要目的是评估其版本化的键值存储。我最终为此放弃了它。在发现 Cloud KMS + Mozilla SOPS + Git 是一个更好且更易于维护的解决方案之后。（如果您想了解更多信息，请写一篇文章。）

话虽如此，我只是认为与 KMS + Mozilla SOPS 相比，它的版本化键值引擎不值得麻烦，除此之外：

Vault 是一款设计精良的产品，在动态机密方面似乎是同类产品中最好的。对于对短期 ssh 凭证和自动轮换数据库密码有高绝对安全要求的行业，我绝对会推荐它。但是，如果这只是一个“很高兴拥有”，那么请权衡一下，如果不是更多地弄清楚如何安装、配置、维护和保护它 + 持续的托管成本，至少需要 2-4 周基础设施。

我知道的唯一安全漏洞是实时保管库服务器的根访问权限-> 内存转储-> 明文主解密密钥-> powned。话虽如此，有几种方法可以防止这种情况发生，最好的方法是使用 SCONE 安全飞地（想想带有加密 ram 的 docker 容器）。（这可以 99.99% 防止 root 访问，而其他对策以防止 root 访问为中心。）