Uma configuração de Key Vault armazena os detalhes de conexão e autenticação que o Ops Manager usa para ler as credenciais do HashiCorp Vault. Depois de criar um cofre de chaves, você pode configurar um armazenamento de3snapshots compatível com S para ler suas credenciais da AWS a partir desse cofre de chaves. Para saber mais, consulte HashiCorp Vault para Credenciais da Loja de Instantâneos.
Pré-requisitos
Antes de configurar um cofre de chave, você deve ter:
Um sistema acessível do HashiCorp Vault.
Políticas de cofre, roles e caminhos secretos que concedem ao Ops Manager acesso somente leitura às credenciais da AWS.
Conectividade de rede segura e confiável entre o Ops Manager, o Backup Daemon e o HashiCorp Vault.
A função no Ops
Global OwnerManager.
Procedimento
Forneça os detalhes do cofre da chave.
Campo | necessidade | Descrição |
|---|---|---|
Provedor de cofres de chaves | Obrigatório | Selecione HashiCorp Vault. |
Endereço do Vault | Obrigatório | Insira o endereço do seu servidor do HashiCorp Vault, como |
Nome do Vault | Obrigatório | Insira um identificador para esta configuração de cofre de chave. |
Método de autenticação | Obrigatório | Selecione o método que o gerente de operações usa para autenticar no HashiCorp Vault:
|
Vault Token | Condicional | Insira o token do Vault. O Ops Manager exibe esse campo quando você define Authentication Method como Token. |
Chave privada JWT | Condicional | Insira a chave privada RSA formatada em PEM que assina o JWT. O Ops Manager exibe esse campo quando você Authentication Method define JSON Web Tokens (JWT) como. |
Reivindicações JWT | Condicional |
|
Certificado CA personalizado (opcional) | Opcional | Clique Select Certificate em para carregar um certificado de Autoridade de Certificação personalizado, no formato PEM, para verificação TLS. |
Envie uma solicitação para o endpoint do Key Vault.
Envie uma POST solicitação para o endpoint Create One Key Vault Configuration. Especifique os friendlyName typecampos,, url auth e.
curl --user '{PUBLIC-KEY}:{PRIVATE-KEY}' --digest \ --header 'Accept: application/json' \ --header 'Content-Type: application/json' \ --include \ --request POST 'https://<OpsManagerHost>:<Port>/api/public/v1.0/admin/keyVault?pretty=true' \ --data '{ "friendlyName": "myVault", "type": "HASHI_CORP", "url": "https://localhost:8200/", "auth": { "mechanism": "TOKEN", "secret": "<vault-token>" } }'