Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Einrichtung einer Datenvermittler-Gruppe zur Verwendung eines externen HashiCorp Vault

04/08/2024 Beitragende

PDFs

Wenn Sie eine Synchronisierungsbeziehung erstellen, für die Amazon S3, Azure oder Google Cloud Anmeldedaten erforderlich sind, müssen Sie diese Anmeldedaten über die BlueXP Kopier- und Synchronisierungsschnittstelle oder -API angeben. Alternativ kann die Gruppe für den Datenvermittler eingerichtet werden, um direkt von einem externen HashiCorp Vault auf die Anmeldeinformationen (oder Secrets) zuzugreifen.

Diese Funktion wird über die BlueXP Kopier- und Synchronisierungs-API unterstützt, die Amazon S3, Azure oder Google Cloud Anmeldedaten erfordert.

Bereiten Sie den Tresor vor

Bereiten Sie den Tresor so vor, dass er die Anmeldeinformationen der Datenmaklergruppe durch Einrichten der URLs bereitstellen kann. Die URLs zu den Geheimnissen im Tresor müssen mit Creds enden.

Bereiten Sie die Gruppe des Datenmakers vor

Bereiten Sie die Datenvermittler-Gruppe so vor, dass sie Anmeldeinformationen aus dem externen Tresor abrufen kann, indem Sie die lokale Konfigurationsdatei für jeden Daten-Broker in der Gruppe ändern.

Erstellen einer Synchronisierungsbeziehung mit der API

Jetzt, da alles eingerichtet ist, können Sie einen API-Aufruf senden, um eine Synchronisierungsbeziehung zu erstellen, die Ihren Tresor verwendet, um die Geheimnisse zu erhalten.

Vorbereiten des Tresors

Sie müssen die BlueXP Kopie und Synchronisierung mit der URL zu den Geheimnissen in Ihrem Vault bereitstellen. Bereiten Sie den Tresor vor, indem Sie diese URLs einrichten. In den Synchronisierungsbeziehungen, die Sie erstellen möchten, müssen Sie URLs für die Anmeldeinformationen für jede Quelle und jedes Ziel einrichten.

Die URL muss wie folgt eingerichtet werden:

/<path>/<requestid>/<endpoint-protocol>Creds

Pfad: Der Präfixpfad zum Geheimnis. Dabei kann es sich um jeden einzigartigen Wert handelt.
Anforderung-ID: Eine Anfrage-ID, die Sie generieren müssen. Beim Erstellen der Synchronisierungsbeziehung müssen Sie die ID in einem der Kopfzeilen in der API-POST-Anfrage angeben.
Endpoint-Protokoll: Eines der folgenden Protokolle, wie definiert "In der Post-Beziehung v2-Dokumentation": S3, AZURE oder GCP (jede muss Großbuchstaben enthalten).
Creds: Die URL muss mit Creds enden.

Beispiele

In den folgenden Beispielen werden URLs zu Secrets angezeigt.

Beispiel für die vollständige URL und den Pfad für die Quellenanmeldeinformationen: http://example.vault.com:8200/my-path/all-secrets/hb312vdasr2/S3Creds

Wie Sie im Beispiel sehen können, lautet der Präfixpfad /my-path/all-Secrets/, die Anfragestellnummer lautet hb312vdasr2 und der Quellendpunkt ist S3.
Beispiel für die vollständige URL und den Pfad für Zielanmeldeinformationen: http://example.vault.com:8200/my-path/all-secrets/n32hcbnejk2/AZURECreds

Der Präfixpfad ist /my-path/all-Secrets/, die Anfraget-ID lautet n32hcbnejk2 und der Zielendpunkt ist Azure.

Vorbereiten der Gruppe des Datenmaklers

Schritte

SSH zu einem Daten-Broker in der Gruppe.
Bearbeiten Sie die Datei local.json, die sich in /opt/netapp/datroker/config befindet.
Stellen Sie enable auf true ein und setzen Sie die config Parameter Felder unter External-integrationen.Haschicorp wie folgt ein:
Aktiviert
Gültige Werte: True/false

Typ: Boolesch

Standardwert: False

Wahr: Der Datenvermittler erhält Geheimnisse von Ihrem eigenen externen HashiCorp Vault

False: Der Datenmanager speichert die Zugangsdaten in seinem lokalen Tresor
url
Typ: Zeichenfolge

Wert: Die URL zu Ihrem externen Tresor
Pfad
Typ: Zeichenfolge

Wert: Präfixpfad zum Geheimnis mit Ihren Anmeldeinformationen
Ablehnen – nicht autorisiert
Legt fest, ob der Datenvermittler nicht autorisierte externe Tresore ablehnen soll

Typ: Boolesch

Standard: False
Auth-Methode
Die Authentifizierungsmethode, die der Datenmanager für den Zugriff auf Anmeldeinformationen aus dem externen Tresor verwenden sollte

Typ: Zeichenfolge

Gültige Werte: „Aws-iam“ / „Role-App“ / „gcp-iam“
Rollenname
Typ: Zeichenfolge

Rollenname (falls Sie AWS-iam oder gcp-iam verwenden)
Secretid & rootid
Typ: String (falls Sie App-Rolle verwenden)
Namespace
Typ: Zeichenfolge

Namespace (X-Vault-Namespace Header, falls erforderlich)
Wiederholen Sie diese Schritte für alle anderen Datenmakler in der Gruppe.

Beispiel für die Authentifizierung der AWS-Rolle

{
          “external-integrations”: {
                  “hashicorp”: {
                         “enabled”: true,
                         “url”: “https://example.vault.com:8200”,
                         “path”: ““my-path/all-secrets”,
                         “reject-unauthorized”: false,
                         “auth-method”: “aws-role”,
                         “aws-role”: {
                               “role-name”: “my-role”
                         }
                }
       }
}

Beispiel für die gcp-iam-Authentifizierung

{
"external-integrations": {
    "hashicorp": {
      "enabled": true,
      "url": http://ip-10-20-30-55.ec2.internal:8200,
      "path": "v1/secret",
      "namespace": "",
      "reject-unauthorized": true,
      "auth-method": "gcp-iam",
      "aws-iam": {
        "role-name": ""
      },
      "app-role": {
        "root_id": "",
        "secret_id": ""
      },
"gcp-iam": {
          "role-name": "my-iam-role"
      }
    }
  }
}

Einrichten von Berechtigungen bei Verwendung der gcp-iam-Authentifizierung

Wenn Sie die gcp-iam-Authentifizierungsmethode verwenden, muss der Daten-Broker die folgende GCP-Berechtigung haben:

- iam.serviceAccounts.signJwt

"Erfahren Sie mehr über die GCP-Berechtigungsanforderungen für den Daten-Broker".

Erstellen einer neuen Synchronisierungsbeziehung unter Verwendung von Secrets aus dem Tresor