Встроенные типы полномочий#
В Astra Automation Controller встроены следующие типы полномочий:
API-токен Ansible Galaxy/Automation Hub (Ansible Galaxy/Automation Hub API Token);
Centrify Vault Credential Provider Lookup;
CyberArk Central Credential Provider Lookup;
CyberArk Conjur Secrets Manager Lookup;
Google Compute Engine;
Открытый ключ GPG (GPG Public Key);
HashiCorp Vault Secret Lookup;
HashiCorp Vault Signed SSH;
Insights;
Microsoft Azure Key Vault;
OpenStack;
Red Hat Satellite 6;
Thycotic DevOps Secrets Vault;
Thycotic Secret Server;
Vault;
VMware vCenter;
Web-сервисы Amazon (Amazon Web Services);
Виртуализация Red Hat (Red Hat Virtualization);
Диспетчер ресурсов Microsoft Azure (Microsoft Azure Resource Manager);
Личный токен доступа к GitHub (GitHub Personal Access Token);
Машина (Machine);
Платформа автоматизации Red Hat Ansible (Red Hat Ansible Automation Platform);
Реестр контейнеров (Container Registry);
Сеть (Network);
Токен персонального доступа GitLab (GitLab Personal Access Token);
Токен доступа OpenShift или Kubernetes API (OpenShift or Kubernetes API Bearer Token);
Система управления версиями (Source Control).
Примечание
По умолчанию при развертывании контроллера в нем создаются полномочия для доступа к Ansible Galaxy типа «Ansible Galaxy/Automation Hub».
API-токен Ansible Galaxy/Automation Hub#
Полномочия этого типа используются для доступа к Ansible Galaxy или коллекциям, опубликованным в частном Automation Hub.
Для создания полномочий этого типа необходимо предоставить следующие данные:
токен доступа, создаваемый пользователем на сервере Galaxy;
адрес сервера Keykcloak для выдачи токена (при использовании SSO).
Centrify Vault Credential Provider Lookup#
Полномочия этого типа используются для доступа к системе управления секретами Centrify Vault Credential Provider.
CyberArk Central Credential Provider Lookup#
Полномочия этого типа используются для доступа к системе управления секретами CyberArk Central Credential Provider. Для использования данной интеграции требуется запущенный веб-сервис хранения секретов CyberArk Central Credential Provider.
Поддерживается защита подключения с помощью SSL.
CyberArk Conjur Secrets Manager Lookup#
Полномочия этого типа используются для доступа к системе управления секретами CyberArk Conjur Secrets Manager.
Google Compute Engine#
Полномочия этого типа используются для доступа к списку управляемых узлов в Google Compute Engine с реквизитами сервисной учетной записи.
Для создания полномочий этого типа необходимо предоставить следующие данные о сервисной учетной записи Google Compute Cloud:
адрес электронной почты;
закрытый ключ RSA, связанный с указанным адресом электронной почты.
Совет
Для автоматического заполнения реквизитов сервисной учетной записи Google Compute Cloud можно использовать файл в формате JSON. Пошаговые инструкции по созданию такого файла см. в документации Google Compute Cloud.
Открытый ключ GPG#
Полномочия этого типа используются для проверки подписи содержимого, полученного из внешних источников.
HashiCorp Vault Secret Lookup#
Полномочия этого типа используются для доступа к учетным данным, хранящимся в хранилище секретов HashiCorp Vault.
Для создания полномочий этого типа необходимо предоставить следующие данные:
URL сервера HashiCorp Vault.
Учетные данные для доступа к серверу HashiCorp Vault.
Номер версии API.
Подробности об использовании хранилища секретов HashiCorp Vault см. в соответствующей секции.
HashiCorp Vault Signed SSH#
Полномочия этого типа используются для доступа к приватным ключам SSH, хранящимся в HashiCorp Vault.
Для создания полномочий этого типа необходимо предоставить следующие данные:
URL сервера HashiCorp Vault.
Учетные данные для доступа к серверу HashiCorp Vault.
Номер версии API.
Подробности об использовании хранилища секретов HashiCorp Vault см. в соответствующей секции.
Insights#
Полномочия этого типа используются для доступа к списку управляемых узлов в Red Hat Insights.
Microsoft Azure Key Vault#
Полномочия этого типа используются для доступа к списку управляемых узлов в Microsoft Azure Key Vault.
OpenStack#
Полномочия этого типа используются для доступа к списку управляемых узлов в OpenStack.
Поддерживается защита подключения с помощью SSL.
Red Hat Satellite 6#
Полномочия этого типа используются для доступа к списку управляемых узлов в Red Hat Satellite 6.
Thycotic DevOps Secrets Vault#
Полномочия этого типа используются для доступа к системе управления секретами Thycotic DevOps Secrets Vault.
Thycotic Secret Server#
Полномочия этого типа используются для доступа к серверу секретов Thycotic Secret Server.
Vault#
Полномочия этого типа используются для доступа к списку управляемых узлов в Ansible Vault.
Если необходим доступ к нескольким хранилищам, необходимо предоставить соответствующие им идентификаторы Vault.
VMware vCenter#
Полномочия этого типа используются для доступа к списку управляемых узлов в VMware vCenter.
Web-сервисы Amazon#
Полномочия этого типа используются для доступа к списку управляемых узлов в Web-сервисах Amazon.
Для создания полномочий этого типа необходимо предоставить следующие данные Web-сервисов Amazon:
публичный ключ доступа;
секретный ключ.
Виртуализация Red Hat#
Полномочия этого типа используются для доступа к расширению (plug-in) инвентаря oVirt4.py, которым управляют с помощью Виртуализации Red Hat.
Диспетчер ресурсов Microsoft Azure#
Полномочия этого типа используются для доступа к списку управляемых узлов в Диспетчере ресурсов Microsoft Azure.
Личный токен доступа к GitHub#
Полномочия этого типа используются для доступа к GitHub с помощью личного токена доступа. Данный тип полномочий позволяет устанавливать API-соединение с GitHub для использования в заданиях и публикации обновлений состояния.
Пошаговые инструкции по созданию токена см. в документации GitHub.
Машина#
Полномочия этого типа используются для доступа к управляемым узлам по SSH. Поддерживается аутентификация по паролю и ключам SSH, созданным с применением различных алгоритмов.
При настройке полномочия можно выбрать один из следующих способов повышения привилегий:
sudo;
su;
pbrun;
pfexec;
dzdo;
pmrun;
runas;
enable;
doas;
ksu;
machinectl;
sesu.
Использование этой настройки эквивалентно выполнению команды ansible-playbook с параметром --become-method=<method>.
Платформа автоматизации Red Hat Ansible#
Полномочия этого типа используются для доступа к Платформе автоматизации Red Hat Ansible.
Поддерживается защита подключения с помощью SSL.
Реестр контейнеров#
Полномочия этого типа используются для доступа к различным хранилищам образов, например:
Поддерживается защита подключения с помощью SSL.
Сеть#
Полномочия этого типа используются для управления сетевым оборудованием. К настоящему времени, согласно документации Ansible, он устарел и не рекомендован к использованию. Вместо него рекомендуется использовать тип «Машина».
Токен персонального доступа GitLab#
Полномочия этого типа используются для доступа к GitLab с помощью личного токена доступа. Данный тип полномочий позволяет устанавливать API-соединение с GitLab для использования в заданиях и публикации обновлений состояния с помощью webhook.
Пошаговые инструкции по созданию токена см. в документации GitLab.
Токен доступа для OpenShift или Kubernetes API#
Полномочия этого типа используются для создания групп с доступом в контейнеры OpenShift или Kubernetes.
Для обеспечения доступа необходимо предоставить следующие данные:
адрес точки доступа OpenShift или Kubernetes API для аутентификации;
токен.
Поддерживается защита подключения с помощью SSL.
Система управления версиями#
Полномочия этого типа используются для доступа к системам контроля версий на основе Git и Subversion.
Поддерживается доступ с помощью ключа SSH или с использованием имени пользователя и пароля.