Una configuración de almacén de claves almacena los detalles de conexión y autenticación que Ops Manager utiliza para leer las credenciales de HashiCorp Vault. Después de crear un almacén de claves, puede configurar un almacén de instantáneas compatible con S3para leer sus Credenciales deAWS de ese almacén de claves. Para obtener más información, consulte HashiCorp Vault para credenciales de almacenamiento de instantáneas.
Requisitos previos
Antes de configurar un almacén de claves, debe tener lo siguiente:
Una implementación de HashiCorp Vault accesible.
Políticas de Vault, roles y rutas secretas que otorgan a Ops Manager acceso de solo lectura a las credenciales de AWS.
Conectividad de red segura y fiable entre Ops Manager,Backup Daemon y HashiCorp Vault.
La
Global Ownerrol en Gerente de Operaciones.
Procedimiento
Proporcione los detalles clave de la bóveda.
Campo | Necesidad | Descripción |
|---|---|---|
Proveedor de bóveda de claves | Requerido | Seleccione HashiCorp Vault. |
Dirección de la bóveda | Requerido | Introduzca la dirección de su servidor HashiCorp Vault, por ejemplo |
Nombre de la bóveda | Requerido | Introduzca un identificador para esta configuración de bóveda de claves. |
Método de autenticación | Requerido | Seleccione el método que utiliza Ops Manager para autenticarse en HashiCorp Vault:
|
Vault Token | Condicional | Introduzca el token de Vault. Ops Manager muestra este campo cuando establece Authentication Method en Token. |
Clave privada JWT | Condicional | Introduzca la clave privada RSA con formato PEM que firma el JWT. Ops Manager muestra este campo cuando Authentication Method cambia JSON Web Tokens (JWT) a. |
Reclamaciones de JWT | Condicional | Introduzca las declaraciones y que Ops Manager envía cuando solicita un inicio de sesión JWT. Ops |
Certificado de CA personalizado (opcional) | Opcional | Haga clic Select Certificate en para cargar un certificado de Autoridad de Certificación personalizado, en formato PEM, para la verificación TLS. |
Envíe una solicitud al punto final de Key Vault.
Envíe una POST solicitud al punto final de configuración de Create One Key Vault. Especifique los friendlyName typecampos,, url auth y.
curl --user '{PUBLIC-KEY}:{PRIVATE-KEY}' --digest \ --header 'Accept: application/json' \ --header 'Content-Type: application/json' \ --include \ --request POST 'https://<OpsManagerHost>:<Port>/api/public/v1.0/admin/keyVault?pretty=true' \ --data '{ "friendlyName": "myVault", "type": "HASHI_CORP", "url": "https://localhost:8200/", "auth": { "mechanism": "TOKEN", "secret": "<vault-token>" } }'