orchestrator
2022.10
false
HashiCorp 保险库集成
重要 :
请注意此内容已使用机器翻译进行了部分本地化。
Orchestrator 用户指南
Last updated 2024年10月9日
HashiCorp 保险库集成
HashiCorp 保险库是一个插件,您可以将其用作 Orchestrator 的凭据存储。
包含两个插件:
- HashiCorp 保险库 – 读写插件(通过 Orchestrator 创建密码)
- HashiCorp 保险库(只读) – 只读插件(必须直接在保险库中配置密码)
-
您必须配置其中一种受支持的身份验证方法:
- AppRole(推荐)
- 用户名密码
- LDAP
-
令牌
了解如何配置身份验证。
-
您必须配置其中一个受支持的密码引擎:
- KeyValueV1 - 可用于 HashiCorp 保险库插件和 HashiCorp 保险库(只读)插件
- KeyValueV2 - 可用于 HashiCorp 保险库插件和 HashiCorp 保险库(只读)插件
- ActiveDirectory - 仅适用于 HashiCorp 保险库(只读)插件
-
所选的身份验证方法必须具有允许在您计划存储密码的路径上使用以下功能的策略:
- 对于 HashiCorp 保险库(只读)插件:
read
- 对于 HashiCorp 保险库插件:
create
、read
、update
、delete
、(可选,如果使用KeyValueV2
密码引擎)对元数据路径的delete
- 对于 HashiCorp 保险库(只读)插件:
以下示例说明了如何配置在 Docker 容器中运行的 HashiCorp 保险库开发版本,以将其用作 Orchestrator 的凭据存储。这些示例应适合您自己的环境。详情请参阅 HashiCorp Vault 的官方文档。
要开始创建和读取密码,您首先需要通过以下步骤配置身份验证方法:
此命令的输出:
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456====== Metadata ======
Key Value
--- -----
created_time 2020-10-12T06:24:41.7827631Z
deletion_time n/a
destroyed false
version 1
=========== Data ===========
Key Value
--- -----
supersecretpassword 123456
备注:
您还可以通过运行以下命令来启用 appRole Orchestrator:
/# vault auth enable approle
/# vault write auth/approle/role/orchestrator policies=orchestrator-policy
/# vault read auth/approle/role/orchestrator/role-id
/# vault write -f auth/approle/role/orchestrator/secret-id
/# vault auth enable approle
/# vault write auth/approle/role/orchestrator policies=orchestrator-policy
/# vault read auth/approle/role/orchestrator/role-id
/# vault write -f auth/approle/role/orchestrator/secret-id
现在,您将拥有可在 Orchestrator 中进行配置的角色 ID 和密码 ID。
使用 HashiCorp 保险库(只读)插件时,保险库管理员负责正确配置 Orchestrator 将使用的密码。在不同的密码类型(资产与机器人密码)以及不同的密码引擎之间,必须配置这些密码的格式有所不同。
有关如何配置密码的说明,请参阅以下内容: