Внешние системы управления секретами#
Внешней системой управления секретами называется сторонний сервис, используемый для хранения секретов и управления ими.
Astra Automation Controller может использовать секреты, хранящиеся в следующих системах управления секретами:
AWS Secrets Manager Lookup;
Centrify Vault Credential Provider Lookup;
CyberArk Central Credential Provider Lookup;
CyberArk Conjur Secrets Manager Lookup;
HashiCorp Vault;
Microsoft Azure Key Vault;
Thycotic DevOps Secrets Vault;
Thycotic Secret Server.
В общем виде схема работы Astra Automation Controller с секретами, хранящимися во внешней системе управления секретами, показана на схеме:
В Astra Automation Controller создается полномочие для доступа к внешней системе управления секретами.
В Astra Automation Controller создаются полномочия необходимых типов, используемые в заданиях. При этом вместо ввода значения секретов в соответствующих полях указывается созданное ранее полномочие для доступа к внешней системе управления секретами.
При запуске задания Astra Automation Controller обращается к внешней системе управления секретами для получения значений необходимых секретов.
Ниже рассматриваются особенности использования различных внешних систем управления секретами.
AWS Secrets Manager Lookup#
Важно
Эта часть документации находится в стадии разработки.
Centrify Vault Credential Provider Lookup#
Важно
Эта часть документации находится в стадии разработки.
CyberArk Central Credential Provider Lookup#
Важно
Эта часть документации находится в стадии разработки.
CyberArk Conjur Credential Provider Lookup#
Важно
Эта часть документации находится в стадии разработки.
HashiCorp Vault#
Для доступа к секретам Astra Automation Controller может использовать API HashiCorp Vault версий v1
и v2
.
Для аутентификации в HashiCorp Vault доступны следующие методы и средства:
LDAP (только для HashiCorp Vault редакции Enterprise).
Данные аутентификации необходимо указывать при создании полномочий соответствующих типов:
При аутентификации через AppRole для доступа к HashiCorp Vault можно использовать собственный тип полномочий со следующими свойствами:
Настройка входных данных:
--- fields: - id: vault_server type: string label: URL for Vault Server - id: vault_role_id type: string label: Vault AppRole ID - id: vault_secret_id type: string label: Vault Secret ID secret: true required: - vault_server - vault_role_id - vault_secret_id
Конфигурация инжектора:
--- extra_vars: ansible_hashi_vault_addr: '{{ vault_server }}' ansible_hashi_vault_role_id: '{{ vault_role_id }}' ansible_hashi_vault_secret_id: '{{ vault_secret_id }}' ansible_hashi_vault_auth_method: approle
Microsoft Azure Key Vault#
Важно
Эта часть документации находится в стадии разработки.
Thycotic DevOps Secrets Vault#
Важно
Эта часть документации находится в стадии разработки.
Thycotic Secret Server#
Важно
Эта часть документации находится в стадии разработки.