Внешние системы управления секретами

Внешней системой управления секретами называется сторонний сервис, используемый для хранения секретов и управления ими.

Astra Automation Controller может использовать секреты, хранящиеся в следующих системах управления секретами:

• AWS Secrets Manager Lookup;

• Centrify Vault Credential Provider Lookup;

• CyberArk Central Credential Provider Lookup;

• CyberArk Conjur Secrets Manager Lookup;

• HashiCorp Vault;

• Microsoft Azure Key Vault;

• Thycotic DevOps Secrets Vault;

• Thycotic Secret Server.

В общем виде схема работы Astra Automation Controller с секретами, хранящимися во внешней системе управления секретами, показана на схеме:

1. В Astra Automation Controller создается полномочие для доступа к внешней системе управления секретами.

2. В Astra Automation Controller создаются полномочия необходимых типов, используемые в заданиях. При этом вместо ввода значения секретов в соответствующих полях указывается созданное ранее полномочие для доступа к внешней системе управления секретами.

3. При запуске задания Astra Automation Controller обращается к внешней системе управления секретами для получения значений необходимых секретов.

Ниже рассматриваются особенности использования различных внешних систем управления секретами.

AWS Secrets Manager Lookup

Важно

Эта часть документации находится в стадии разработки.

Centrify Vault Credential Provider Lookup

Важно

Эта часть документации находится в стадии разработки.

CyberArk Central Credential Provider Lookup

Важно

Эта часть документации находится в стадии разработки.

CyberArk Conjur Credential Provider Lookup

Важно

Эта часть документации находится в стадии разработки.

HashiCorp Vault

Для доступа к секретам Astra Automation Controller может использовать API HashiCorp Vault версий v1 и v2.

Для аутентификации в HashiCorp Vault доступны следующие методы и средства:

• название учетной записи пользователя и пароль;

• AppRole;

• Kubernetes;

• сертификат TSL.

• LDAP (только для HashiCorp Vault редакции Enterprise).

Данные аутентификации необходимо указывать при создании полномочий соответствующих типов:

• HashiCorp Vault Secret Lookup;

• HashiCorp Vault Signed SSH.

При аутентификации через AppRole для доступа к HashiCorp Vault можно использовать собственный тип полномочий со следующими свойствами:

• Настройка входных данных:

  ---
  fields:
    - id: vault_server
      type: string
      label: URL for Vault Server
    - id: vault_role_id
      type: string
      label: Vault AppRole ID
    - id: vault_secret_id
      type: string
      label: Vault Secret ID
      secret: true
  required:
    - vault_server
    - vault_role_id
    - vault_secret_id
  

• Конфигурация инжектора:

  ---
  extra_vars:
    ansible_hashi_vault_addr: '{{ vault_server }}'
    ansible_hashi_vault_role_id: '{{ vault_role_id }}'
    ansible_hashi_vault_secret_id: '{{ vault_secret_id }}'
    ansible_hashi_vault_auth_method: approle
  

Microsoft Azure Key Vault

Важно

Эта часть документации находится в стадии разработки.

Thycotic DevOps Secrets Vault

Важно

Эта часть документации находится в стадии разработки.

Thycotic Secret Server

Важно

Эта часть документации находится в стадии разработки.