Это не самая новая версия документации. Для изменения используйте переключатель версий или перейдите на новейшую версию!

Внешние системы управления секретами#

Внешней системой управления секретами называется сторонний сервис, используемый для хранения секретов и управления ими.

Automation Controller может использовать секреты, хранящиеся в следующих системах управления секретами:

  • AWS Secrets Manager Lookup;

  • Centrify Vault Credential Provider Lookup;

  • CyberArk Central Credential Provider Lookup;

  • CyberArk Conjur Secrets Manager Lookup;

  • HashiCorp Vault;

  • Microsoft Azure Key Vault;

  • Thycotic DevOps Secrets Vault;

  • Thycotic Secret Server.

В общем виде схема работы Automation Controller с секретами, хранящимися во внешней системе управления секретами, показана на схеме:

../../../../_images/external-secret-storage-service-light.svg ../../../../_images/external-secret-storage-service-dark.svg
  1. В Automation Controller создается полномочие для доступа к внешней системе управления секретами.

  2. В Automation Controller создаются полномочия необходимых типов, используемые в заданиях. При этом вместо ввода значения секретов в соответствующих полях указывается созданное ранее полномочие для доступа к внешней системе управления секретами.

  3. При запуске задания Automation Controller обращается к внешней системе управления секретами для получения значений необходимых секретов.

Ниже рассматриваются особенности использования различных внешних систем управления секретами.

AWS Secrets Manager Lookup#

Важно

Эта часть документации находится в стадии разработки.

Centrify Vault Credential Provider Lookup#

Важно

Эта часть документации находится в стадии разработки.

CyberArk Central Credential Provider Lookup#

Важно

Эта часть документации находится в стадии разработки.

CyberArk Conjur Credential Provider Lookup#

Важно

Эта часть документации находится в стадии разработки.

HashiCorp Vault#

Для доступа к секретам Automation Controller может использовать API HashiCorp Vault версий v1 и v2.

Для аутентификации в HashiCorp Vault доступны следующие методы и средства:

Данные аутентификации необходимо указывать при создании полномочий соответствующих типов:

При аутентификации через AppRole для доступа к HashiCorp Vault можно использовать собственный тип полномочий со следующими свойствами:

  • Настройка входных данных:

    ---
    fields:
      - id: vault_server
        type: string
        label: URL for Vault Server
      - id: vault_role_id
        type: string
        label: Vault AppRole ID
      - id: vault_secret_id
        type: string
        label: Vault Secret ID
        secret: true
    required:
      - vault_server
      - vault_role_id
      - vault_secret_id
    
  • Конфигурация инжектора:

    ---
    extra_vars:
      ansible_hashi_vault_addr: '{{ vault_server }}'
      ansible_hashi_vault_role_id: '{{ vault_role_id }}'
      ansible_hashi_vault_secret_id: '{{ vault_secret_id }}'
      ansible_hashi_vault_auth_method: approle
    

Microsoft Azure Key Vault#

Важно

Эта часть документации находится в стадии разработки.

Thycotic DevOps Secrets Vault#

Важно

Эта часть документации находится в стадии разработки.

Thycotic Secret Server#

Важно

Эта часть документации находится в стадии разработки.