这张认证到底考什么
先把考试形式、适合人群、备考时长和学习范围讲清楚,再决定要不要投入时间。
认证概述
HashiCorp Certified: Vault Associate(002)是 HashiCorp 官方颁发的 Vault 密钥管理平台 Associate 级认证,验证考生在 Secrets 管理、加密服务、身份认证和访问控制领域的核心能力。考试共 57 道题(单选、多选、判断题),时长 60 分钟,及格线约 70%,考试费 $70.50 USD,认证有效期 2 年。
考试领域(HashiCorp 官方九大考试目标)
- 认证方法(Authentication Methods):定义认证目的、按使用场景选择方法(Token、UserPass、AppRole、LDAP、OIDC/JWT、AWS、Kubernetes)、区分人工认证与机器认证、理解 Entity 与 Identity Group
- Vault 策略(Vault Policies):HCL 路径语法、通配符(* 和 +)、capabilities 类型(create、read、update、delete、list、sudo、deny)、默认拒绝原则、策略绑定
- Vault Token(Vault Tokens):Service Token vs Batch Token、Root Token 生命周期、Token Accessor 用途、TTL 配置、孤立 Token(Orphaned Token)
- Vault 租约(Vault Leases):Lease ID 用途、动态密钥租约续期(renew)流程、租约撤销(revoke)方法
- 密钥引擎(Secrets Engines):KV v1/v2 对比、动态密钥引擎(Database、AWS、PKI)工作原理、Transit 加密引擎、响应包装(Response Wrapping)、引擎启用与路径挂载
- 加密即服务(Encryption as a Service):Transit 引擎执行加密/解密操作、密钥版本与轮换(Key Rotation)、数据加密上下文
- Vault 架构基础(Vault Architecture Fundamentals):数据静态加密(Encryption at Rest)、Seal/Unseal 机制与 Shamir 密钥分享、环境变量配置(VAULT_ADDR、VAULT_TOKEN)
- Vault 部署架构(Vault Deployment Architecture):集群模式、Integrated Storage(Raft)vs Consul 存储后端、企业级 Performance Replication 与 DR Replication、HCP Vault(托管服务)vs 自托管对比
- 访问管理架构(Access Management Architecture):Vault Agent 自动认证(Auto-auth)与模板渲染(Template)、Vault Secrets Operator(VSO)在 Kubernetes 中动态注入 Secrets
适合人群
- DevOps 工程师和平台工程师,负责在企业 Kubernetes 或云环境中部署和管理 Vault
- 安全工程师,希望系统掌握 Secrets Management、加密即服务(EaaS)最佳实践
- 准备向 HashiCorp Vault Operations Professional 进阶的基础设施工程师
你会反复碰到的核心服务
Vault 架构(Seal/Unseal、Shamir 密钥分享、存储后端、HA 模式)Vault Auth Methods(Token、AppRole、Kubernetes、OIDC、AWS 认证)Vault Secret Engines(KV v1/v2、Database 动态密钥、PKI、Transit)Vault 租约管理(Lease TTL、续期、撤销)Vault ACL 策略(HCL 语法、路径匹配、能力类型、Identity Entity)Vault Agent(Auto-auth 自动认证、Template 模板渲染)
学完以后你能带走什么
- 通过 HashiCorp Certified: Vault Associate (002) 认证
- 深度掌握 Vault 密钥引擎:KV 静态密钥、动态数据库密钥和 Transit 加密服务
- 能够设计和实施 Vault 认证策略:AppRole 机器认证、Kubernetes 集成
- 熟练编写 HCL 格式 ACL 策略并配置 Vault Agent 自动认证模板
考试详情
考试代码
Vault-002
发证机构
HashiCorp
时长
90 分钟
题目数
65 题
及格分
70/100
有效期
3 年
适合谁考
适合人群
- DevOps 工程师和平台工程师,负责企业级 Vault 部署与运营
- 安全工程师,希望系统掌握 Secrets Management 和加密即服务(EaaS)
- 云基础设施工程师,在 Kubernetes 或 AWS 环境中集成 HashiCorp Vault
开始前最好先有
- 了解基本 Linux 命令行操作,能够运行 vault CLI 命令
- 具备基础 DevOps 或云基础设施概念(容器、API、密钥管理)
- 建议有 3-6 个月 Vault 实际使用经验,或完成 HashiCorp 官方 Learn 教程
备考节奏
有 AWS 实操经验
4-6 周
零基础切入
8-10 周
建议日投入
1-2 小时/天
学习路径预览
3 章1
Vault 架构与认证方法(Auth Methods)精讲
40 min2
Secret Engines、ACL 策略与 Vault Agent 精讲
120 min3
考前冲刺:场景判断题与仿真模拟考试
100 min同赛道认证对比
| Vault Associate 002 | Terraform Associate | Terraform Associate | |
|---|---|---|---|
| 机构 | HashiCorp | HashiCorp | HashiCorp |
| 级别 | 助理级 | 助理级 | 助理级 |
| 考试费 | $0 | $70.5 | $0 |
| 时长 | 90 min | 60 min | 90 min |
| 题量 | 65 | 57 | 65 |
| 有效期 | 3 年 | 2 年 | 3 年 |
备考技巧与常见失误
💡
65 题 90 分钟,平均每题 1 分钟,合理分配时间
💡
及格分 70/100,不确定的题先标记跳过,回头再做
💡
排除法非常有用 — 先排掉明显错误的选项,剩下的再分析
⚠️
没有读完所有选项就选答案 — 题目经常有"最佳"答案和"正确但不最佳"的干扰项
⚠️
备考只刷题不理解原理 — 考试场景题需要理解底层概念
⚠️
忽略时间管理 — 在难题上卡太久,导致后面简单题没时间做