Ребят, если есть текущий рутовый токен, автоансил и зашифрованные gpg

ключами recovery ключи, но потеряно большинство приватных gpg ключей для расшировки recovery, то путь к регенерации нового рутового токена и ансила, в случае отключения автоансила, закрыт навсегда?

в таком случае только поднимать новый волт?
смогу ли я восстановить в него текущий бекап, который делается через consul kv export vault/ при условии использовании того же автоансил ключа?

ответ где-то тут: https://www.vaultproject.io/docs/concepts/seal Сам мастер-ключ и ключи, на которых шифруются непосредственно данные, лежат в стоадже самого волта. Точка преткновения - ключ расшифрования мастер-ключа. Сейчас но у тебя только в автоансиле. Если у тебя реальная ситуация и важный волт с важными данными, я бы посоветовал посмотреть на recovery mode https://www.vaultproject.io/docs/concepts/recovery-mode, можно подумать, как оттуда безопасно забекапить всё в открытом виде, чтобы потом если что вернуть это в новый, правильно засиленный волт. Ну и конечно если автоансил позволяет вытащить ансил-ключ, то вытащить его и тоже положить в безопасное место.

да, ситуация реальная, к сожалению, и данные важны. но таких волта два - прод и дев. так что я могу начать с дева. автоансил на awskms, не уверен, что могу его вытащить