Dynamic secret — secret management tizimi talab bo‘yicha yaratadigan, cheklangan muddat va aniq scopega ega credentialdir. Masalan, application vaultdan database uchun yangi user-parol juftligini oladi; lease tugagach credential avtomatik bekor qilinadi. U oldindan qo‘lda yaratilgan uzoq muddatli static secretdan farq qiladi.
Yaratilish jarayoni
Client ishonchli workload identity bilan secret servicega autentifikatsiya qiladi va ma’lum role bo‘yicha credential so‘raydi. Backend plugin database, cloud yoki PKI tizimida yangi hisob, token yoki certificate yaratadi. Javob secret qiymati, lease ID, TTL va renewal imkoniyatini o‘z ichiga oladi.
Role ruxsat va naming qoidalarini belgilaydi. Database dynamic user faqat kerakli schema uchun read huquqiga ega bo‘lishi mumkin. Har application uchun alohida role breach radius va auditni aniq qiladi.
Lease va TTL
Lease secretning lifecycle identifikatoridir. Client TTL tugashidan oldin renewal so‘rashi mumkin. Max TTLga yetgach yangi credential olinadi. Application renewal muvaffaqiyatsiz bo‘lsa mavjud connectionlar qachongacha ishlashi va yangi ulanish qanday tutishi oldindan belgilanadi.
Juda qisqa TTL secret o‘g‘irlanish oynasini kamaytiradi, ammo backendda ko‘p create/revoke va applicationda tez rotation yukini oshiradi. Juda uzun TTL dynamic modelning xavfsizlik afzalligini kamaytiradi. Qiymat risk, connection davomiyligi va outage tolerancega mos tanlanadi.
Bekor qilish
Lease expiry bo‘lganda vault backenddagi credentialni revoke qiladi. Operator compromised lease yoki role bilan bog‘liq barcha lease larni muddatidan oldin bekor qilishi mumkin. Revoke API muvaffaqiyatsiz bo‘lsa orphan account qolishi mumkin; periodic reconciliation backenddagi faol credentiallarni vault lease lari bilan solishtiradi.
Prefix revoke katta guruhga ta’sir qiladi va ehtiyotkor ishlatiladi. Incidentda avval yangi sog‘lom credential berish, trafikni ko‘chirish va keyin eskisini bekor qilish xizmat uzilishini kamaytirishi mumkin.
Application integratsiyasi
Agent secretni memory yoki permissioni cheklangan faylga yozadi. Application connection pool yangi credential bilan qayta ochilishi kerak. Fayl qiymati o‘zgargani bilan allaqachon ochiq database connection avtomatik almashtirilmasligi mumkin.
Dual credential overlap rotationni uzluksiz qiladi. Bir credential yaratiladi, health tekshiriladi, eski pool drain qilinadi va eski secret revoke qilinadi. Application restartga bog‘liq model qisqa TTL bilan mos kelmasligi mumkin.
Afzallik va cheklovlar
Har instance yoki run uchun noyob credential auditni aniq qiladi. Sizib chiqqan secret qisqa muddat amal qiladi, umumiy parolni ming hostda yangilash talab qilinmaydi. Least privilege role orqali avtomatlashtiriladi.
Secret service va backend mavjudligiga dependency paydo bo‘ladi. Vault outage paytida yangi instance credential ololmasligi mumkin. Local cache va grace period mavjudlikni oshiradi, ammo stale secret xavfini keltiradi. Bootstrap identity ham alohida himoyalanishi kerak.
Lease va iste’molchi
Dynamic secret lease bilan beriladi: unda yaratilgan vaqt, expiry va revoke identifikatori mavjud. Uzoq ishlovchi servis lease ni yarmiga yaqin muddatda yangilashi yoki yangisini olishi mumkin; expiryga bir necha soniya qolganda yangilash tarmoq uzilishiga sezgir. Pool ichidagi database connection eski credential bilan ochiq qolishi ehtimol, shuning uchun rotation connection lifecycle bilan muvofiqlashtiriladi. Secret serveri vaqtincha ishlamasa barcha yangi instance birdan yiqilmasligi uchun cheklangan cache va aniq fail-closed siyosati tanlanadi.
Bog‘liq tushunchalar
Secret management, Lease, TTL, Rotation, Revocation, Workload identity, Least privilege