- 基本情報
- ベスト プラクティス
- テナント
- リソース カタログ サービス
- フォルダー コンテキスト
- 自動化
- プロセス
- ジョブ
- トリガー
- ログ
- 監視
- キュー
- アセット
- ストレージ バケット
- Test Suite - Orchestrator
- その他の構成
- Integrations
- クラシック ロボット
- ホストの管理
- 組織管理者
- トラブルシューティング
HashiCorp Vault との連携
HashiCorp Vault は、Orchestrator で資格情報ストアとして使用できるプラグインです。
次の 2 つのプラグインが含まれています。
- HashiCorp Vault – 読み取り/書き込みプラグイン (シークレットは Orchestrator によって作成される)。
- HashiCorp Vault (読み取り専用) – 読み取り専用プラグイン (シークレットは Vault で直接プロビジョニングする必要がある)。
-
サポートされている、以下のいずれかの認証方法を設定する必要があります。
- AppRole (推奨)
- UsernamePassword
- LDAP
-
トークン
認証の設定方法については、こちらをご覧ください。
-
サポートされている、以下のいずれかのシークレット エンジンを設定する必要があります。
- KeyValueV1 - HashiCorp Vault と HashiCorp Vault (読み取り専用) の両方のプラグインで使用できます。
- KeyValueV2 - HashiCorp Vault と HashiCorp Vault (読み取り専用) の両方のプラグインで使用できます。
- ActiveDirectory - HashiCorp Vault (読み取り専用) プラグインでのみ使用できます。
-
選択した認証方法には、シークレットを保存するパスに対して以下の機能を許可するポリシーが設定されている必要があります。
- HashiCorp Vault (読み取り専用) プラグイン:
read
- HashiCorp Vault プラグイン:
create
、read
、update
、delete
、およびKeyValueV2
シークレット エンジンを使用する場合は、任意でメタデータ パスに対するdelete
。
- HashiCorp Vault (読み取り専用) プラグイン:
以下に、Docker コンテナーで実行されている開発バージョンの HashiCorp Vault を、Orchestrator で資格情報ストアとして使用されるように設定する方法の例を示します。この例を、個々の環境に応じて調整する必要があります。HashiCorp Vault について詳しくは、公式ドキュメントをご覧ください。
シークレットの作成と読み取りを開始するには、まず以下の手順を実行して、認証方法を設定する必要があります。
このコマンドの出力:
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
以下のコマンドを実行して appRole Orchestrator を有効化することもできます。
/# vault auth enable approle
/# vault write auth/approle/role/orchestrator policies=orchestrator-policy
/# vault read auth/approle/role/orchestrator/role-id
/# vault write -f auth/approle/role/orchestrator/secret-id
/# vault auth enable approle
/# vault write auth/approle/role/orchestrator policies=orchestrator-policy
/# vault read auth/approle/role/orchestrator/role-id
/# vault write -f auth/approle/role/orchestrator/secret-id
これで、Orchestrator での設定に必要なロール ID とシークレット ID を使用できるようになりました。
HashiCorp Vault (読み取り専用) プラグインを使用する場合、Vault の管理者は Orchestrator が使用するシークレットを正しくプロビジョニングする必要があります。これらのシークレットのプロビジョニング形式は、シークレットの種類 (アセットあるいはロボットのパスワード) やシークレット エンジンによって異なります。
シークレットをプロビジョニングする手順については、以下をご覧ください。