キーヴォールト構成には、Ops Manager が HashiCorp Vault から認証情報を読み取るために使用する接続と認証の詳細が保存されます。キーヴォールトを作成すると、S 互換の読み取りを構成して、そのキーヴォールトから3 AWS認証情報を読み取ることができます。詳細については、「 スナップショット ストア認証情報用の HashiCorp Vault 」を参照してください。
前提条件
キーヴォールトを構成する前に、以下のものが必要です。
到達可能な HashiCorp Vault 配置。
Ops Manager にAWS認証情報への読み取り専用アクセスを許可する Vault ポリシー、ロール、シークレット パス。
Ops Manager、バックアップデーモン、 HashiCorp Vault 間の安全で信頼性の高いネットワーク接続を確保します。
Global OwnerMongoDB Ops Manager の ロール。
手順
キーヴォールトの詳細を指定します。
フィールド | 必要性 | 説明 |
|---|---|---|
キーヴォールトプロバイダー | 必須 | HashiCorp Vault を選択します。 |
ヴォールト アドレス | 必須 | HashiCorp Vaultサーバーのアドレス( |
ロール名 | 必須 | このキーヴォールト構成の識別子を入力します。 |
認証方法 | 必須 | MongoDB Ops Manager が HashiCorp Vault への認証に使用する方法を選択します。
|
Vault Token | 条件付き | Vault トークンを入力します。 Authentication Method を Token に設定すると、MongoDB Ops Manager にこのフィールドが表示されます。 |
JWT 秘密キー | 条件付き | JWT に署名する PEM 形式の RSA秘密キーを入力します。Authentication Method JSON Web Tokens (JWT)を に設定すると、MongoDB Ops Manager にこのフィールドが表示されます。 |
JWT クレーム | 条件付き | JWT ログインをリクエストするときに MongoDB Ops Manager が送信する |
カスタム CA 証明書(任意) | 任意 | をクリックして、TLS Select Certificate検証用に PEM形式のカスタム認証局証明書をアップロードします。 |
リクエストを Key Vault エンドポイントに送信する。
POST1 つのキーヴォールト構成の作成 エンドポイントに リクエストを送信します。friendlyName 、type 、 、url authフィールドを指定します。
curl --user '{PUBLIC-KEY}:{PRIVATE-KEY}' --digest \ --header 'Accept: application/json' \ --header 'Content-Type: application/json' \ --include \ --request POST 'https://<OpsManagerHost>:<Port>/api/public/v1.0/admin/keyVault?pretty=true' \ --data '{ "friendlyName": "myVault", "type": "HASHI_CORP", "url": "https://localhost:8200/", "auth": { "mechanism": "TOKEN", "secret": "<vault-token>" } }'