Ctrl+K
Ctrl+K
Ctrl+K

Внешние системы управления секретами

Внешние системы управления секретами#

Внешней системой управления секретами называется сторонний сервис, используемый для хранения секретов и управления ими.

Automation Controller может использовать секреты, хранящиеся в следующих системах управления секретами:

  • AWS Secrets Manager Lookup;

  • Centrify Vault Credential Provider Lookup;

  • CyberArk Central Credential Provider Lookup;

  • CyberArk Conjur Secrets Manager Lookup;

  • HashiCorp Vault;

  • Microsoft Azure Key Vault;

  • Thycotic DevOps Secrets Vault;

  • Thycotic Secret Server.

В общем виде схема работы Automation Controller с секретами, хранящимися во внешней системе управления секретами, показана на схеме:

../../../../_images/external-secret-storage-service-light.svg ../../../../_images/external-secret-storage-service-dark.svg

  1. В Automation Controller создается полномочие для доступа к внешней системе управления секретами.

  2. В Automation Controller создаются полномочия необходимых типов, используемые в заданиях. При этом вместо ввода значения секретов в соответствующих полях указывается созданное ранее полномочие для доступа к внешней системе управления секретами.

  3. При запуске задания Automation Controller обращается к внешней системе управления секретами для получения значений необходимых секретов.

Ниже рассматриваются особенности использования различных внешних систем управления секретами.

AWS Secrets Manager Lookup#

Важно

Эта часть документации находится в стадии разработки.

Centrify Vault Credential Provider Lookup#

Важно

Эта часть документации находится в стадии разработки.

CyberArk Central Credential Provider Lookup#

Важно

Эта часть документации находится в стадии разработки.

CyberArk Conjur Credential Provider Lookup#

Важно

Эта часть документации находится в стадии разработки.

HashiCorp Vault#

Для доступа к секретам Automation Controller может использовать API HashiCorp Vault версий v1 и v2.

Для аутентификации в HashiCorp Vault доступны следующие методы и средства:

Данные аутентификации необходимо указывать при создании полномочий соответствующих типов:

При аутентификации через AppRole для доступа к HashiCorp Vault можно использовать собственный тип полномочий со следующими свойствами:

  • Настройка входных данных:

    ---
fields:
  - id: vault_server
    type: string
    label: URL for Vault Server
  - id: vault_role_id
    type: string
    label: Vault AppRole ID
  - id: vault_secret_id
    type: string
    label: Vault Secret ID
    secret: true
required:
  - vault_server
  - vault_role_id
  - vault_secret_id

  • Конфигурация инжектора:

    ---
extra_vars:
  ansible_hashi_vault_addr: '{{ vault_server }}'
  ansible_hashi_vault_role_id: '{{ vault_role_id }}'
  ansible_hashi_vault_secret_id: '{{ vault_secret_id }}'
  ansible_hashi_vault_auth_method: approle

Microsoft Azure Key Vault#

Важно

Эта часть документации находится в стадии разработки.

Thycotic DevOps Secrets Vault#

Важно

Эта часть документации находится в стадии разработки.

Thycotic Secret Server#

Важно

Эта часть документации находится в стадии разработки.

Содержание