🚀 HashiCorp Vault MCP 服务端
这是一个实现模型上下文协议(MCP)的服务端,它提供了与 HashiCorp Vault 的安全接口,能让大型语言模型(LLM)和其他 MCP 客户端与 Vault 的秘密和策略管理功能进行交互。
🚀 快速开始
通过此实现,LLM 可以执行以下操作:
- 通过结构化的 API 进行秘密的安全管理。
- 策略的创建和管理。
- 资源的发现和列表。
- 自动化策略生成。
✨ 主要特性
工具函数
秘密操作
secret_create:创建秘密。secret_read:读取秘密内容。secret_delete:删除指定的秘密。
策略管理
policy_create:创建新的 Vault 策略,指定允许访问的路径。
资源类型
秘密资源
vault://secrets:列出所有可用的秘密路径。
策略资源
vault://policies:列出所有已定义的 Vault 策略。
自动生成策略
通过指定路径和权限,生成相应的策略内容。例如:
{
"policy_name": "app_read_only",
"rules": {
"path": "/secret/app/*",
"capabilities": ["read"]
}
}
📦 安装指南
根据您的设置有不同的使用方式。
使用 Cursor(推荐)
在 Cursor MCP 配置中添加如下内容:
{
"mcpServers": {
"Vault MCP": {
"command": "docker",
"args": [
"run",
"-i",
"--rm",
"-e",
"VAULT_ADDR=https://your-vault-server:8200",
"-e",
"VAULT_TOKEN=hvs.your-vault-token",
"ashgw/vault-mcp:latest"
]
}
}
}
⚠️ 重要提示
如果您希望指定特定的 Docker 镜像版本(例如,20250413-165732),请使用该标签而不是 latest。可以在 Docker Hub 浏览可用版本。
添加后,可以使用如下提示:
"读取路径
apps/myapp/config的 Vault 秘密"
Cursor 会自动将请求路由到 MCP 服务器。 检查是否正常工作,界面应显示绿色状态
手动运行 Docker
设置环境变量 VAULT_ADDR 和 VAULT_TOKEN,并映射端口 3000:
docker run -it --rm -e "VAULT_ADDR=https://your-vault-server:8200" -e "VAULT_TOKEN=your-vault-token" -p 3000:3000 ashgw/vault-mcp:latest
从源代码构建
克隆仓库并运行:
git clone git@github.com:ashgw/vault-mcp.git
cd vault-mcp
go run main.go
💻 使用示例
基础用法
添加 Vault MCP 服务器到 Cursor 配置,设置环境变量,并启动服务:
VAULT_ADDR=https://vault.example.com:8200 VAULT_TOKEN=your_token docker run -p 3000:3000 ashgw/vault-mcp:latest
高级用法
测试功能
- 创建策略:
policy_create --name app_read_only --rules '{"path": "/secret/app/*", "capabilities": ["read"]}' - 列出所有秘密路径:
ls vault://secrets - 读取特定秘密:
cat vault://secrets/myapp/config
📚 详细文档
注意事项
⚠️ 重要提示
- 确保 Vault 服务器地址和令牌的正确性。
- 安全管理令牌,防止泄露。
- 在生产环境中建议使用受信任的网络。
社区与支持
如需帮助或反馈,请访问 HashiCorp 论坛 或联系官方支持。