← Retour à la liste
★★★½ 3.5 / 5
Catégorie 05MCP

MCP HashiCorp Vault

Lire et gérer les secrets Vault depuis Claude

Installation
Préparer les credentials Vault# Méthode 1 : Token direct (dev/staging) # vault token create -policy=drupal-app -ttl=24h # Méthode 2 : AppRole (recommandé en production) # vault auth enable approle # vault write auth/approle/role/drupal-app token_policies="drupal-app" # vault read auth/approle/role/drupal-app/role-id # vault write -f auth/approle/role/drupal-app/secret-id
Installation via npm (Token)claude mcp add vault \ -e VAULT_ADDR=https://vault.moninfra.com:8200 \ -e VAULT_TOKEN=hvs.XXXXXXXXXXXXXXXXXX \ -- npx -y @modelcontextprotocol/server-vault
Installation via npm (AppRole)claude mcp add vault \ -e VAULT_ADDR=https://vault.moninfra.com:8200 \ -e VAULT_ROLE_ID=ton_role_id \ -e VAULT_SECRET_ID=ton_secret_id \ -- npx -y @modelcontextprotocol/server-vault
Version@modelcontextprotocol/server-vault (communautaire)
PrixGratuit (open source)
Plateformes
WindowsmacOSLinux
Commandes5
Exemples3
MCP
À propos

Serveur MCP pour HashiCorp Vault permettant à Claude de lire les secrets, vérifier les politiques d'accès, et inspecter les moteurs de secrets (KV, PKI, Database). Utile pour les infrastructures Drupal qui centralisent leurs secrets dans Vault plutôt que dans des fichiers .env.

Fonctionnalités clés
Lecture de secrets KVLire les secrets KV v1 et v2 depuis Vault en conversation naturelle. Inspecter les credentials de production sans les exposer dans des scripts ou des logs.
Credentials dynamiquesInspecter et gérer les credentials de base de données dynamiques (MySQL, MariaDB, PostgreSQL). Voir les baux actifs, les renouveler ou les révoquer en cas d'incident.
Inspection des politiquesLire et analyser les politiques HCL Vault (capabilities, paths). Vérifier qu'une application a bien les permissions nécessaires sans accès à l'UI Vault.
PKI — certificats TLSÉmettre et inspecter les certificats TLS depuis le moteur PKI Vault. Utile pour les environnements avec rotation automatique des certificats (Kubernetes, mTLS).
Transit EngineChiffrer et déchiffrer des données via le moteur Transit de Vault. Alternative aux clés de chiffrement hardcodées dans le code Drupal.
Commandes
CommandeDescription
read secretLire un secret depuis le chemin KV (ex. secret/data/drupal/prod/database)
list secretsLister les secrets disponibles sous un chemin
list leasesVoir les baux (credentials dynamiques) actifs
read policyLire une politique Vault (capabilities par chemin)
renew leaseRenouveler un bail de credentials avant expiration
Exemples
Diagnostic des credentials dynamiques MariaDBCODE
"Inspecte les credentials dynamiques MariaDB actifs dans Vault :
1. Lister les baux actifs sous database/creds/drupal-role
2. Voir la durée de vie restante de chaque bail
3. Identifier les credentials proches de l'expiration (< 10 min)
4. Renouveler les baux qui expirent bientôt
5. Montrer la commande pour révoquer un bail compromis"
Vérifier les permissions d'une app DrupalCODE
"Vérifie que l'application Drupal a les bonnes permissions Vault :
1. Lire la politique 'drupal-app' et afficher les capabilities par chemin
2. Tester si le token peut lire secret/data/drupal/prod/database
3. Tester si le token peut lire database/creds/drupal-role
4. Vérifier qu'il ne peut PAS lire secret/data/drupal/staging (isolation)
5. Signaler toute permission manquante ou excessive"
Rotation des secrets après incidentCODE
"Un développeur a quitté l'équipe, rotation complète des secrets Drupal :
1. Lister tous les tokens Vault associés au rôle 'drupal-app'
2. Révoquer les tokens de l'ancien développeur
3. Générer de nouveaux credentials DB dynamiques (lease court)
4. Mettre à jour les secrets KV (API keys, SMTP password)
5. Vérifier que les applications tournent toujours avec les nouveaux credentials"
Points forts & faibles
Points forts
+Accès aux secrets en lecture sans les exposer dans des scripts
+Gestion des baux (lease) depuis la conversation (renouveler, révoquer)
+Inspection des politiques sans UI Vault
+Intégration Kubernetes (Vault Agent Injector) documentable depuis Claude
Points faibles
Infrastructure Vault nécessaire (cluster à maintenir)
MCP communautaire, fonctionnalités limitées vs l'UI native
Courbe d'apprentissage élevée (politiques HCL, moteurs de secrets)
En cas de panne Vault, les applications ne peuvent plus démarrer
Verdict

HashiCorp Vault est le standard de facto pour la gestion des secrets en infrastructure moderne. Le MCP est utile pour le diagnostic et la vérification des politiques sans UI. Pour les projets Drupal sur Kubernetes, les credentials de base de données dynamiques éliminent le risque de fuite de password. À réserver aux équipes avec une infra Vault déjà en place.

DevOps et développeurs Drupal travaillant sur des infrastructures avec HashiCorp Vault pour la gestion des secrets. Particulièrement utile pour inspecter les credentials dynamiques et vérifier les politiques d'accès.