"Vault"
- 斷網環境的基礎服務:DNS、NTP、CA 與 Secret Management
斷網環境裡其他所有服務的前提——內部 DNS 做名稱解析、NTP 做時間同步、內部 CA 簽發 TLS 憑證、Vault 管理機密值。這四個服務先部署、其他才能跟上。
- HashiCorp Vault Dynamic Credential:lease 治理跟 application 整合的實作層
Vault database secrets engine 怎麼配、application 怎麼 renew lease、production 五大踩雷(lease 過期 race、DB max_connections 撞牆、Vault sealed、token expire、scope 過寬)、容量規劃跟 vault-agent injector 整合
- Vault → AWS Secrets Manager:「secret」不是「secret」、identity model 才是核心差異
Vault → AWS Secrets Manager migration 表面是 secret store 替換、實際核心是 identity model 對位(Vault token + policy vs AWS IAM + resource policy);驗證 [#128](/report/data-topology-as-audit-dimension/) self-aware limitation 提出的 identity axis 候選 — identity 是否獨立 audit 軸;5 個 production 踩雷(IAM principal 對位 / dynamic credential 對等失敗 / lease lifecycle 模型不同 / audit log 結構差 / 計費模型反轉)