buscar um par KV específico de um conjunto de KVs definidos em um caminho

Ao usar o mecanismo de segredos KV Versão 2 do HashiCorp Vault, a busca de uma chave específica de dentro de um caminho /mysecretsnão é feita anexando o nome da chave ao caminho. O segredo inteiro (ou seja, todos os pares chave-valor naquele caminho) é buscado de uma vez usando a API:

GET /v1/kv/data/mysecrets

Isso retorna uma estrutura como:

{
 "data":{
     "data":{
       "key1":"value1",
       "key1":"value1"
        }
        ,
       "metadate"{
         ...
       }
   }
}

Então, se você quiser apenas a chave 1, você precisa buscar o segredo inteiro e extrair a chave 1 data.data.objectprogramaticamente

por que o abaixo não funciona?

GET /v1/kv/data/mysecrets/key1

Esse caminho seria válido somente se você armazenasse o segredo diretamente, conforme /mysecrets/key1abaixo:

vault kv put kv/mysecrets/key1
value=somevalue

Então você poderia fazer

GET /v1/kv/data/mysecrets/key1

e receber

{
 "data":{
     "data":{
       "value":"somevalue",
        }
        ,
       "metadate"{
         ...
       }
   }
}

Conforme confirmado pela documentação da API , os endpoints e parâmetros suportam apenas a recuperação de um segredo KV2 em uma versão e caminho de montagem de mecanismo específicos. Se você quiser retornar apenas um par chave-valor dentro do segredo, será necessário analisar a resposta HTTP. Por exemplo, pode-se usar jqesta tarefa se, por exemplo, um curlcomando também estiver sendo executado, pois a resposta será uma string no formato JSON e enviada para a saída padrão. Por exemplo, um segredo my_secretcom chave foopode ser enviado para a saída padrão como:

curl --header "X-Vault-Token: $VAULT_TOKEN" $VAULT_ADDR/v1/secret/data/my_secret | jq -r ".data.data.foo"

Existem outras maneiras de analisar a resposta para apenas um par de valores-chave no segredo usando os vários SDKs do Vault, se você preferir esse caminho.