Guía del usuario de Orchestrator

Integración de CyberArk®​

Requisitos previos​

• El complemento CyberArk® se establece en tu archivo UiPath.Orchestrator.dll.config de Orchestrator tal como se describe aquí.
• CyberArk® Enterprise Password Vault debe estar instalado en una máquina que pueda comunicarse directamente con el equipo en el que esté instalado Orchestrator.
• CyberArk® AAM (Application Access Manager) debe estar instalado en la misma máquina que Orchestrator. Para las configuraciones multinodo de Orchestrator, debe instalarse una instancia AAM en cada nodo de Orchestrator.
  Nota:

  Si actualizas una instancia de Orchestrator con una configuración existente de CyberArk® en el archivo UiPath.Orchestrator.dll.config, se creará automáticamente un almacén de credenciales CyberArk Robot Credentials con esa configuración en todos los inquilinos y se establecerá como almacén predeterminado para los robots. Tus robots existentes migrarán a este nuevo almacén de credenciales.

Configurar la Integración​

1. Crea una aplicación para tu instancia de Orchestrator y añade las máquinas permitidas;
2. Crea una Caja fuerte y agrega miembros a ella para garantizar los permisos adecuados.

Crear una aplicación de Orchestrator​

1. En CyberArk® PVWA, inicia sesión con un usuario que tenga permisos para gestionar aplicaciones (requiere la autorización Gestionar usuarios).

2. En la pestaña Aplicaciones, haz clic en Agregar aplicación. Se mostrará la página Añadir aplicación.

   Figura 1. Página Añadir aplicación

   

3. Especifica la siguiente información:

   • Campo de Nombre: un nombre personalizado para la aplicación, como Orchestrator.
   • Descripción: una breve descripción para ayudarte a especificar el propósito de la nueva aplicación.
   • Sección de Propietario: de forma opcional, añade información sobre el propietario de la aplicación.
   • Ubicación: la ruta de la aplicación dentro de la jerarquía de Vault. Si no se especifica una ubicación, la aplicación se agrega en la misma ubicación del usuario que está creando esta aplicación.

4. Haz clic en Agregar. Se agregará la aplicación y se mostrará sus detalles en la página Detalles de la aplicación.

5. En la pestaña Autenticación, marca la casilla de verificación de Permitir restricciones de autenticación extendida.

   Supported authentication methods:

   • Máquinas permitidas

   • OS User

   • Ruta

     Habilita la configuración de la aplicación Plugins.SecureStores.CyberArk.UsePowerShellCLI para recuperar las credenciales de un almacén de CyberArk cuando se utiliza la autenticación de ruta.

6. Configura el método de autenticación. Por ejemplo, en la pestaña Máquinas permitidas, haz clic en Añadir. Se mostrará la ventana Añadir máquina permitida. En ella deberás añadir información sobre la máquina o máquinas en la que está instalado Orchestrator.

7. En el campo Dirección, especifica la dirección de una máquina utilizando el formato IP/hostname/DNS.

8. Haz clic en Añadir. La dirección IP se muestra en la pestaña Máquinas permitidas. Esta información permite al proveedor de credenciales asegurarse de que solo las aplicaciones que se ejecutan en las máquinas especificadas puedan acceder a sus contraseñas.

9. Realiza los pasos 6 a 8 tantas veces como sea necesario para asegurar que los servidores permitidos incluyen todos los servidores de nivel medio o todos los puntos finales en los que se instalaron los proveedores de credenciales AAM. Puede ser el caso si instalaste Orchestrator en varios nodos.

Crear una caja fuerte de Orchestrator​

1. En la pestaña Políticas, en la sección Control de acceso (Cajas fuertes), haz clic en Agregar caja fuerte. Se muestra la página Agregar caja fuerte.

   Figura 2. Añadir página de caja fuerte

   

2. Rellena los campos Nombre de de la caja fuerte y descripción.

3. Haz clic en Guardar. Se mostrará la ventana Guardar detalles.

   Figura 3. Página de detalles de la caja fuerte

   

4. En la sección Miembros, haz clic en Añadir miembros. Se mostrará la ventana Añadir miembro a la caja fuerte.

5. Busca la aplicación creada anteriormente (pasos 2-5) para poder añadirla.

6. Añade un proveedor de credenciales y selecciona los siguientes permisos:

   • Ver miembros de la caja fuerte

   • Recuperar cuentas

   • Listado de cuentas

   • Acceso seguro sin confirmación: solo si usas un entorno de control dual y un PIM-PSM v7.2 o inferior.

     Si instalas varios proveedores de credenciales para esta integración, te recomendamos crear un grupo para ellos y añadir el grupo a la caja fuerte una vez con la autorización anterior.

7. Haz clic en Añadir. Se muestra un mensaje de confirmación en la ventana Añadir miembro seguro.

8. Añade la aplicación creada anteriormente como miembro seguro, con el permiso Recuperar cuentas.

9. Haz clic en Añadir. Se muestra un mensaje de confirmación en la ventana Añadir miembro seguro.

Integración de CyberArk® CCP​

Requisitos previos​

• Una red que permite la interconectividad entre el servicio Orchestrator y el servidor CyberArk.
• El proveedor central de credenciales de CyberArk® debe estar instalado en una máquina que permita conexiones HTTP.
• CyberArk® Enterprise Password Vault

Configurar la Integración ​

1. Crea una aplicación para tu instancia de Orchestrator y agrega certificados de cliente;
2. Crea una Caja fuerte y agrega miembros a ella para garantizar los permisos adecuados.

Crear una aplicación de Orchestrator​

1. En CyberArk® PVWA, inicia sesión con un usuario que tenga permisos para gestionar aplicaciones (requiere la autorización Gestionar usuarios).

2. En la pestaña Aplicaciones, haz clic en Agregar aplicación. Se muestra la ventana Agregar aplicación.

   Figura 4. Ventana Añadir aplicación

   

3. En la ventana Agregar aplicación, especifica la siguiente información:

   • Campo de Nombre: un nombre personalizado para la aplicación, como Orchestrator.
   • Descripción: una breve descripción para ayudarte a especificar el propósito de la nueva aplicación.
   • Ubicación: la ruta de la aplicación dentro de la jerarquía de Vault. Si no se especifica una ubicación, la aplicación se agrega en la misma ubicación del usuario que está creando esta aplicación.

4. Selecciona Añadir. Se agregará la aplicación y se mostrará sus detalles en la página Detalles de la aplicación.

5. Marca la casilla de verificación Permitir restricciones de autenticación extendidas.

   Método de autenticación compatible:

   • Máquinas permitidas
   • OS User
   • Certificados de cliente: el certificado de cliente utilizado para la autenticación de CyberArk debe tener al menos 2048 bits

6. Configura el método de autenticación. Por ejemplo, en la pestaña Autenticación, selecciona Añadir > Número de serie de certificado y añade el identificador único del certificado de cliente, utilizado para autenticar la aplicación solicitante contra CCP.

   Figura 5. Número de serie de certificado

   

Crear una caja fuerte de Orchestrator​

1. En la pestaña Políticas, en la sección Control de acceso (cajas fuertes), haz clic en Agregar caja fuerte. Se muestra la página Agregar caja fuerte.

   Figura 6. Página Añadir caja fuerte

   

2. Rellena los campos Nombre de de la caja fuerte y descripción.

3. Haz clic en Guardar. Se mostrará la ventana Guardar detalles.

   Figura 7. Ventana de detalles de caja fuerte

   

4. En la sección Miembros, haz clic en Añadir miembros. Se mostrará la ventana Añadir miembro a la caja fuerte.

   Figura 8. Ventana de miembros

   

5. Busca la aplicación creada anteriormente (pasos 2-6), y selecciona los siguientes permisos para ella:

   • Ver miembros de la caja fuerte

   • Recuperar cuentas

   • Listado de cuentas

   • Acceso seguro sin confirmación: solo si usas un entorno de control dual y un PIM-PSM v7.2 o inferior.

     Si instalas varios proveedores de credenciales para esta integración, te recomendamos crear un grupo para ellos y añadir el grupo a la caja fuerte una vez con la autorización anterior.

     Figura 9. Ventana Añadir miembro de caja fuerte

   

6. Haz clic en Agregar. Tu integración se completa y puedes empezar a aprovisionar los almacenes de credenciales de CyberArk® en Orchestrator. Para obtener información sobre el almacenamiento de las credenciales de los Robots, visita esta sección.

Integración de Azure Key Vault​

• Azure Key Vault: complemento de lectura y escritura (los secretos se crean a través de Orchestrator).
• Azure Key Vault (solo lectura): complemento de solo lectura (debes aprovisionar los secretos directamente en Key Vault).

Requisitos previos​

• Los almacenes de credenciales de Azure Key Vault utilizan la autenticación de Azure de control de acceso basado en roles (RBAC). Asigna el rol adecuado al principal de servicio asociado con el registro de tu aplicación, dependiendo del tipo de almacén de credenciales.
  • For read-write credential stores, assign the Key Vault Secrets Officer role.
  • For read-only credential stores, assign the Key Vault Secrets User role.
• El complemento Key Vault se establece en tu archivo UiPath.Orchestrator.dll.config de Orchestrator como se describe en la sección Almacén de contraseñas.
• Crea la versión de Key Vault que se va a utilizar con Orchestrator en tu cuenta de Azure. Consulta la documentación oficial de Microsoft aquí para obtener más información.

Configuración​

1. Crea un nuevo registro de aplicaciones.
2. Copia el ID de aplicación (cliente) para usarlo más tarde.
3. Ve a Gestionar > Certificados y secretos > Nuevo secreto de cliente, y añade un nuevo secreto de cliente. Anota la fecha de caducidad que has elegido y crea antes un nuevo secreto.
4. Copia el valor del secreto para su uso más adelante.

1. Accede a la página de descripción general de Key Vault y copia el URI de Key Vault e ID del directorio ID para su uso posterior.
2. Select Access Control (IAM) from the menu on the left.
3. Select Add, and then select Add role assignment.
4. Selecciona uno de los siguientes roles, dependiendo de tu tipo de almacén de credenciales:

• Key Vault Secrets Officer for read-write credential stores.
• Key Vault Secrets User for read-only credential stores.

5. Asigna el rol al principal de servicio asociado con el registro de tu aplicación.
6. Select Review + assign to save the role assignment.

Uso de Azure Key Vault (solo lectura)​

• Almacenamiento de credenciales de unattended robot en Azure Key Vault (solo lectura)
• Almacenamiento de activos en Azure Key Vault (solo lectura)

Integración de HashiCorp Vault​

• HashiCorp Vault: complemento de lectura y escritura (los secretos se crean a través de Orchestrator).
• HashiCorp Vault (solo lectura): complemento de solo lectura (debes aprovisionar los secretos en Vault directamente).

Requisitos previos​

• Una red que permite interconectividad entre el servicio de Orchestrator y el servidor HashiCorp Vault:
  • El puerto de API usado por HashiCorp Vault para las solicitudes de API debe abrirse a través de cualquier cortafuegos y debe ser accesible desde Internet. Dicho puerto es 8200 en una instalación típica.
  • Si el cortafuegos del cliente no permite conectividad desde ninguna IP de Internet, las direcciones de IP de Orchestrator deben anotarse en la lista blanca.
• Debes configurar uno de los métodos de autenticación admitidos:
  • AppRole (recomendado)
  • Contraseña de nombre de usuario
  • LDAP
  • TokenConsulta cómo configurar la autenticación.
• Debes configurar uno de los motores de secretos admitidos:
  • KeyValueV1 : disponible tanto para HashiCorp Vault como para HashiCorp Vault (solo lectura)
  • KeyValueV2 : disponible tanto para HashiCorp Vault como para HashiCorp Vault (solo lectura)
  • ActiveDirectory : disponible solo para HashiCorp Vault (solo lectura)
  • OpenLDAP : disponible solo para HashiCorp Vault (solo lectura)
• El método de autenticación elegido debe tener una política que permita las siguientes capacidades en la ruta donde tienes previsto almacenar tus secretos:
  • Para el complemento HashiCorp Vault (solo lectura): read
  • Para el complemento HashiCorp Vault: create, read, update, delete y de manera opcional delete en la ruta de metadatos, si se utiliza el motor de secretos KeyValueV2.

Configurar la Integración ​

Configurar autenticación​

1. Abre un shell del contenedor:

   assignment

   docker exec -it dev-vault sh
   docker exec -it dev-vault sh
   

2. Inicia sesión como raíz. Asegúrate de que tienes el token raíz que aparece en los registros para establecer una variable de entorno con él ejecutando el siguiente comando:

   assignment

   export VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1f
   export VAULT_TOKEN=s.hA7RJ5lBqSnKUPd8nrQBaK1f
   

3. Comprueba el estado de Vault ejecutando el siguiente comando:

   assignment

   vault status
   vault status
   

4. Añade un secreto ficticio para Orchestrator en el almacén KV:

   assignment

   vault kv put secret/applications/orchestrator/testSecret Value=123456
   vault kv put secret/applications/orchestrator/testSecret Value=123456
   

5. Concede a Orchestrator acceso a la ruta secret/applications/orchestrator recién creada. Para ello, primero debes crear una política para leer y escribir en esta ruta y en todas sus subrutas ejecutando el siguiente comando:

   assignment

   cat <<EOF | vault policy write orchestrator-policy -
   path "secret/data/applications/orchestrator/*" {
     capabilities = ["create", "read", "update", "delete"]
   }
   path "secret/metadata/applications/orchestrator/*" {
     capabilities = ["delete"]
   }
   EOF
   cat <<EOF | vault policy write orchestrator-policy -
   path "secret/data/applications/orchestrator/*" {
     capabilities = ["create", "read", "update", "delete"]
   }
   path "secret/metadata/applications/orchestrator/*" {
     capabilities = ["delete"]
   }
   EOF
   

   Nota:

   Cuando se utiliza un motor de secretos KeyValueV2, los secretos se escriben y se obtienen en la ruta <mount>/data/<secret-path>, a diferencia de <mount>/<secret-path> en KeyValueV1. No cambia ninguno de los comandos CLI (es decir, no especificas datos en tu ruta). Sin embargo, cambia las políticas, ya que las capacidades se aplican a la ruta real. En el ejemplo anterior, la ruta es secret/data/applications/orchestrator/* ya que estamos trabajando con un motor de secretos KeyValueV2. Si se utilizara un KeyValueV1, la ruta habría sido secret/applications/orchestrator/*. La capacidad de eliminar en la ruta de metadatos solo es necesaria si quieres asegurarte de que Orchestrator no deje claves de prueba al verificar la conectividad. Si no se concede esta capacidad, se creará una clave y se dejará atrás al crear el almacén de credenciales en Orchestrator.

6. Habilita la autenticación utilizando el userpass método de autenticación, luego crea un usuario para Orchestrator y asigna la política previamente creada:

   assignment

   vault auth enable userpass
   vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policy
   vault auth enable userpass
   vault write auth/userpass/users/orchestrator password=123456 policies=orchestrator-policy
   

   Nota:

   Orchestrator admite varios modos de autenticación. Consulta la documentación de HashiCorp Vault para saber cómo configurarlos.

7. Comprueba que has configurado todo correctamente iniciando sesión e intentando leer el secreto que creaste anteriormente:

   assignment

   vault login -method=userpass username=orchestrator password=123456
   vault login -method=userpass username=orchestrator password=123456
   

   Salida de este comando:

   assignment

   WARNING! The VAULT_TOKEN environment variable is set! This takes precedence
   over the value set by this command. To use the value set by this command,
   unset the VAULT_TOKEN environment variable or set it to the token displayed
   below.
   Success! You are now authenticated. The token information displayed below
   is already stored in the token helper. You do NOT need to run "vault login"
   again. Future Vault requests will automatically use this token.
   Key                    Value
   ---                    -----
   token                  s.nwombWQH3gGPDhJumRzxKqgI
   token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
   token_duration         768h
   token_renewable        true
   token_policies         ["default" "orchestrator-policy"]
   identity_policies      []
   policies               ["default" "orchestrator-policy"]
   token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
   over the value set by this command. To use the value set by this command,
   unset the VAULT_TOKEN environment variable or set it to the token displayed
   below.
   Success! You are now authenticated. The token information displayed below
   is already stored in the token helper. You do NOT need to run "vault login"
   again. Future Vault requests will automatically use this token.
   Key                    Value
   ---                    -----
   token                  s.nwombWQH3gGPDhJumRzxKqgI
   token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
   token_duration         768h
   token_renewable        true
   token_policies         ["default" "orchestrator-policy"]
   identity_policies      []
   policies               ["default" "orchestrator-policy"]
   token_meta_username    orchestrator
   WARNING! The VAULT_TOKEN environment variable is set! This takes precedence
   over the value set by this command. To use the value set by this command,
   unset the VAULT_TOKEN environment variable or set it to the token displayed
   below.
   Success! You are now authenticated. The token information displayed below
   is already stored in the token helper. You do NOT need to run "vault login"
   again. Future Vault requests will automatically use this token.
   Key                    Value
   ---                    -----
   token                  s.nwombWQH3gGPDhJumRzxKqgI
   token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
   token_duration         768h
   token_renewable        true
   token_policies         ["default" "orchestrator-policy"]
   identity_policies      []
   policies               ["default" "orchestrator-policy"]
   token_meta_username    orchestratorWARNING! The VAULT_TOKEN environment variable is set! This takes precedence
   over the value set by this command. To use the value set by this command,
   unset the VAULT_TOKEN environment variable or set it to the token displayed
   below.
   Success! You are now authenticated. The token information displayed below
   is already stored in the token helper. You do NOT need to run "vault login"
   again. Future Vault requests will automatically use this token.
   Key                    Value
   ---                    -----
   token                  s.nwombWQH3gGPDhJumRzxKqgI
   token_accessor         aGJL6Pzc6fRRuP8d8tTjS2Kj
   token_duration         768h
   token_renewable        true
   token_policies         ["default" "orchestrator-policy"]
   identity_policies      []
   policies               ["default" "orchestrator-policy"]
   token_meta_username    orchestrator
   

8. Selecciona este token y ponlo en lugar del token raíz, luego intenta leer el secreto de la prueba:

   assignment

   export VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
   vault kv get secret/applications/orchestrator/testSecret
   export VAULT_TOKEN=s.nwombWQH3gGPDhJumRzxKqgI
   vault kv get secret/applications/orchestrator/testSecret
   

   Salida de este comando:

====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456
====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456====== Metadata ======
Key              Value
---              -----
created_time     2020-10-12T06:24:41.7827631Z
deletion_time    n/a
destroyed        false
version          1
=========== Data ===========
Key                    Value
---                    -----
supersecretpassword    123456

/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id
/ # vault auth enable approle
/ # vault write auth/approle/role/orchestrator policies=orchestrator-policy
/ # vault read auth/approle/role/orchestrator/role-id
/ # vault write -f auth/approle/role/orchestrator/secret-id

Configurar el motor de secretos de Active Directory​

1. Habilita el motor de secretos de Active Directory ejecutando el siguiente comando:
   assignment

   vault secrets enable ad
   vault secrets enable ad
   

2. Configura las credenciales que HashiCorp Vault utiliza para comunicarse con Active Directory para generar contraseñas:
   assignment

   vault write ad/config \
       binddn=$USERNAME \
       bindpass=$PASSWORD \
       url=ldaps://138.91.247.105 \
       userdn='dc=example,dc=com'
   vault write ad/config \
       binddn=$USERNAME \
       bindpass=$PASSWORD \
       url=ldaps://138.91.247.105 \
       userdn='dc=example,dc=com'
   

3. Configura un rol que asigne un nombre en HashiCorp Vault a una cuenta en Active Directory. Cuando las aplicaciones solicitan contraseñas, este rol gestionará la configuración de la rotación de contraseñas.
   assignment

   vault write ad/roles/orchestrator service_account_name="my-application@example.com"
   vault write ad/roles/orchestrator service_account_name="my-application@example.com"
   

4. Concede a orchestrator acceso a sus credenciales en ad/creds/orchestrator utilizando un método de autenticación como AppRole.
   assignment

   cat <<EOF | vault policy write orchestrator-policy -
   path "ad/creds/orchestrator" {
     capabilities = ["read"]
   }
   EOF
   cat <<EOF | vault policy write orchestrator-policy -
   path "ad/creds/orchestrator" {
     capabilities = ["read"]
   }
   EOF
   

Uso de HashiCorp Vault (solo lectura)​

Integración de BeyondTrust​

Requisitos previos​

• Una instancia de BeyondTrust Server Cloud o una instalación local similar
• Credenciales de Beyond Insight

Configurar la Integración ​

1. Inicia sesión en la instancia de BeyondTrust Server Cloud o en una instalación local similar utilizando tus credenciales de Beyond Insight.

2. Crea un registro de la API para las cuentas del grupo de servicios UiPath.

   Figura 10. Crear un registro de API

   

3. Crea una norma de autenticación que permita las conexiones entrantes de la API desde UiPath.

   Figura 11. Crear una regla de autenticación

   

4. Crea un nuevo grupo para la(s) cuenta(s) de servicio de UiPath y añade las siguientes características:

   • Cuenta segura con contraseña

   • Rol seguro con contraseña

     Figura 12. Crear un nuevo grupo

     

5. También es necesario asignar reglas inteligentes:

   • las cuentas gestionadas/de solo lectura/de solicitantes son suficientes para las solicitudes normales de los usuarios.

   • Para el acceso a ISA, se necesita el rol Activos/ISA.

     Figura 13. Asignar reglas inteligentes

     

6. Añade el registro de la API al grupo.

   Figura 14. Añadir el registro de API al grupo

   

7. Crea un nuevo usuario y asigna el grupo UiPath.

   Figura 15. Crear un nuevo usuario

   

8. Los siguientes pasos varían en función de si se utiliza BeyondTrust Password Safe - cuentas administradas o BeyondTrust Password Safe - contraseñas de equipos.

1. Añade las cuentas administradas en Sistemas de gestión.

   Figura 16. Página Sistemas gestionados

   

2. Asegúrate de utilizar la API habilitada para las cuentas administradas.

1. Ve a la página Contraseñas de equipos.

   Figura 18. Página Contraseñas de equipo

   

2. También se puede crear una nueva carpeta.

3. Selecciona una carpeta.

4. Utiliza la opción Crear credencial.

Integración de Secret Server de Thycotic​

Requisitos previos​

• Instalación de una instancia de Thycotic Secret Server en la nube o local.

Configurar la Integración ​

1. Inicie sesión en su cuenta de Secret Server.
2. Ve a Administrador > Gestión de usuarios y haz clic en Crear usuario. Selecciona la casilla de verificación Cuenta de aplicación para generar una cuenta de aplicación.
3. Vaya a Administrador > Ver todos > Herramientas e integraciones > Gestión de cliente SDK y configure una nueva regla de incorporación en Incorporación de cliente. Anota el nombre de regla de incorporación y la clave.
4. Edita la regla de incorporación y asigna la cuenta de aplicación creada en el paso 2.
5. Asegúrate de que la cuenta de aplicación vinculada a la regla de incorporación tiene permisos para los secretos a los que accede Orchestrator. Puedes asignar la cuenta de aplicación a un grupo y otorgar a dicho grupo acceso a las carpetas requeridas, u otorgarle acceso explícito a los secretos.

Integración de AWS Secrets Manager​

Acerca de AWS Secrets Manager​

• AWS Secrets Manager
• AWS Secrets Manager (solo lectura)

Requisitos previos​

• Necesitas disponer de una suscripción de AWS.
• Debes crear una política de IAM específica para Secrets Manager, que asignarás al usuario o al rol de IAM de la cuenta.

Configuración​

• La ID de clave de acceso se puede encontrar en la pestaña Credenciales de seguridad de tu cuenta IAM de AWS.
• El ID de clave secreta solo se proporciona después de crear la cuenta. Por lo tanto, es importante copiarlo para su uso futuro. Si pierdes u olvidas tu ID de clave secreta, debes crear otra clave de acceso y luego reemplazar la información necesaria en Orchestrator.

Usar AWS Secrets Manager (solo lectura)​

• Almacenamiento de credenciales de Unattended Robot en AWS Secrets Manager (solo lectura)
• Almacenamiento de activos en AWS Secrets Manager (solo lectura)