Docs Menu
Docs Home
/ /

HashiCorp Vault para credenciales de almacenamiento de instantáneas

Puedes almacenar el Credenciales deAWS para un 3almacén de instantáneas compatible con S en la base de datos de la aplicación Ops Manager o en HashiCorp VaultCuando almacena credenciales en un almacén de claves, Ops Manager las recupera de HashiCorp Vault bajo demanda. La recuperación bajo demanda le permite centralizar, rotar y auditar credenciales confidenciales.

Ops Manager admite HashiCorp Vault y el almacenamiento local de credenciales. Usted elige qué método usar para cada almacén de instantáneas compatible con S3.

Ops Manager admite dos ubicaciones de almacenamiento de credenciales para un almacén de instantáneas compatible con S3:

Ubicación de almacenamiento
Descripción

AppDB

Ops Manager almacena la clave de acceso y la clave secreta de AWS en la base de datos de la aplicación Ops Manager. AppDB es el método predeterminado y no requiere HashiCorp Vault.

Bóveda de llaves

Ops Manager lee la clave de acceso y la clave secreta de AWS desde HashiCorp Vault bajo demanda. Ops Manager almacena únicamente la ruta a cada secreto, no el valor del secreto.

Utilice una bóveda de claves cuando sus requisitos de seguridad o auditoría exijan un gestor de secretos centralizado. Utilice AppDB cuando no utilice HashiCorp Vault.

Para utilizar HashiCorp Vault para credenciales de almacenamiento de instantáneas compatibles con S3, debe completar dos tareas de configuración:

  1. Cree una configuración de almacén de claves que almacene los detalles de conexión y autenticación para su servidor HashiCorp Vault. Para obtener más información, consulte Configure un almacén de claves para almacenes de instantáneas.

  2. Configure un almacén3de instantáneas compatible con S para usar el almacén de claves. Debe especificar el almacén de claves, la ruta a la clave de acceso de AWS y la ruta a la clave secreta de AWS. Ops Manager lee las credenciales del almacén de claves y las pasa a AWS S.3 Para obtener más información, consulte Agregar un3almacén de instantáneas compatible con S.

Ops Manager se autentica en HashiCorp Vault con un token o un JWT. Luego, Ops Manager lee la clave de acceso de AWS y la clave secreta de las rutas secretas que especifique para el almacén de instantáneas. Usted proporciona cada ruta en el formato <secret-path>/<key>.

Ops Manager lee la clave de acceso y la clave secreta de AWS desde HashiCorp Vault y las almacena en caché en la memoria. Ops Manager no guarda estas credenciales en la base de datos de la aplicación.

De forma predeterminada, Ops Manager actualiza una credencial almacenada en caché cada cinco minutos. Para cambiar este intervalo, configure la propiedad mms.keyVault.secret.cacheSoftTtlMs.

Si HashiCorp Vault no está disponible cuando Ops Manager actualiza una credencial almacenada en caché, Ops Manager sigue utilizando la última credencial conocida y registra el evento, de modo que las copias de seguridad existentes continúan. Si no existe ninguna credencial almacenada en caché y Ops Manager no puede acceder a HashiCorp Vault, la operación que requiere la credencial falla.

Importante

Ops Manager no tiene una alerta específica para la disponibilidad de HashiCorp Vault. Si Vault deja de estar disponible y no quedan credenciales almacenadas en caché, los fallos de copia de seguridad resultantes activan las mismas alertas que se aplican a cualquier trabajo de copia de seguridad fallido. Configure las alertas de copia de seguridad para recibirlas. Para obtener más información, consulte Configurar ajustes de alerta.

Cuando Ops Manager valida un almacén de instantáneas compatible con S3que utiliza un almacén de claves y S3 devuelve un error 401 o 403, Ops Manager actualiza las credenciales de HashiCorp Vault una vez y luego vuelve a intentarlo. Si el reintento también falla, Ops Manager devuelve un error y la validación falla.

Ops Manager protege los detalles de autenticación de HashiCorp Vault de la siguiente manera:

  • Ops Manager cifra el secreto de autenticación de Vault en reposo con el archivo gen.key, el mismo método que Ops Manager utiliza para otras integraciones.

  • Ops Manager oculta el secreto de autenticación de Vault y cualquier certificado personalizado en las respuestas de la API y en la consola de Ops Manager. Ops Manager devuelve [REDACTED] en lugar del valor almacenado.

Para usar HashiCorp Vault para credenciales de almacenamiento de instantáneas compatibles con S3, necesita:

  • Una implementación de HashiCorp Vault accesible.

  • Políticas de Vault, roles y rutas secretas que otorgan a Ops Manager acceso de solo lectura a las credenciales de AWS.

  • Conectividad de red segura y fiable entre Ops Manager,Backup Daemon y HashiCorp Vault.

Para cambiar un almacén de instantáneas compatible con S3existente de credenciales locales a HashiCorp Vault:

  1. Cree una configuración de almacén de claves, tal como se describe en Configurar un almacén de claves para almacenes de instantáneas.

  2. Edite el3almacén de instantáneas compatible con S y establezca su ubicación de almacenamiento de credenciales en el almacén de claves, como se describe en Editar un almacén de instantáneas compatible con S3existente.

Volver

Compatible con S3

En esta página