Você pode armazenar as credenciais da AWS do para um armazenamento de3snapshots compatível com S no banco de dados de aplicativo Ops Manager ou no HashiCorp Vault. Quando você armazena credenciais em um cofre de chaves, o Ops Manager as obtém do HashiCorp Vault sob demanda. A recuperação sob demanda ajuda você a centralizar, girar e auditar credenciais confidenciais.
O Ops Manager oferece suporte ao HashiCorp Vault e ao armazenamento local de credenciais. Você escolhe qual método usar para cada armazenamento de snapshots compatível com S3.
Opções de armazenamento de credenciais
O Ops Manager oferece suporte a dois locais de armazenamento de credenciais para um armazenamento de snapshots compatível com S3 :
Localização do armazenamento | Descrição |
|---|---|
AppDB | O Ops Manager armazena a chave de acesso da AWS e a chave secreta no banco de dados de aplicativo Ops Manager. O AppDB é o método padrão e não requer o HashiCorp Vault. |
Key Vault | O Ops Manager lê a chave de acesso da AWS e a chave secreta do HashiCorp Vault sob demanda. O Ops Manager armazena apenas o caminho para cada segredo, não o valor secreto. |
Use um cofre de chaves quando seus requisitos de segurança ou auditar exigirem um gerenciador secreto centralizado. Use o AppDB quando não estiver usando o HashiCorp Vault.
Como o gerente de operações usa o HashiCorp Vault
Para usar o HashiCorp Vault para credenciais de armazenamento de snapshots compatíveis com S3, você deve concluir duas tarefas de configuração:
Crie uma configuração de cofre de chave que armazene os detalhes de conexão e autenticação do servidor HashiCorp Vault . Para saber como, consulte Configurar um Cofre de Chave para Lojas de Instantâneos.
Configure um3armazenamento de snapshots3 compatível com S para usar o3cofre de chaves. Você especifica o cofre de chaves, o caminho para a chave de acesso da AWS e o caminho para a chave secreta da AWS.O Ops Manager lê as credenciais do cofre de chaves e as passa para o AWS S. Para saber como, consulte Adicionar um armazenamento de snapshots compatível com S.
O Ops Manager autentica no HashiCorp Vault com um token ou um JWT. Em seguida, o Ops Manager lê a chave de acesso da AWS e a chave secreta dos caminhos secretos que você especifica para o armazenamento de snapshots. Você fornece cada caminho no <secret-path>/<key> formulário.
Recuperação de credenciais e cache
O Ops Manager lê a chave de acesso da AWS e a chave secreta do HashiCorp Vault e as armazena em cache na memória. O Ops Manager não armazena essas credenciais no banco de dados de aplicativo Ops Manager.
Por padrão, o Ops Manager atualiza uma credencial em cache a cada cinco minutos. Para alterar este intervalo, configure a propriedade mms.keyVault.secret.cacheSoftTtlMs.
Se o HashiCorp Vault não estiver disponível quando o Ops Manager atualizar uma credencial em cache, o Ops Manager continuará usando a última credencial conhecida e registrará o evento, para que os backups existentes continuem. Se não houver nenhuma credencial em cache e o Ops Manager não puder acessar o HashiCorp Vault, a operação que precisa da credencial falhará.
Importante
O gerente de operações não tem um alerta específico para a disponibilidade do HashiCorp Vault. Se o Vault se tornar inacessível e nenhuma credencial em cache permanecer, as falhas de backup resultantes acionarão os mesmos alertas de backup que se aplicam a qualquer tarefa de backup com falha. Configure alertas de backup para recebê-los. Para saber como, consulte Definir configurações de alerta.
Quando o Ops Manager valida um armazenamento de snapshots compatível com S3que usa um cofre de chaves e o S3 retorna um erro 401 ou 403, o Ops Manager atualiza as credenciais do HashiCorp Vault uma vez e tenta novamente. Se a nova tentativa também falhar, o Ops Manager retornará um erro e a validação falhará.
Segurança
O Ops Manager protege seus detalhes de autenticação do HashiCorp Vault da seguinte forma:
O Ops Manager criptografa o segredo de autenticação do Vault em repouso com o arquivo
gen.key, o mesmo método que o Ops Manager usa para outras integrações.O Ops Manager edita o segredo de autenticação do Vault e qualquer certificado personalizado nas respostas da API e no console do Ops Manager. O Ops Manager retorna
[REDACTED]em vez do valor armazenado.
Requisitos
Para usar o HashiCorp Vault para credenciais de armazenamento de snapshots compatíveis com S3, você precisa de:
Um sistema acessível do HashiCorp Vault.
Políticas de cofre, roles e caminhos secretos que concedem ao Ops Manager acesso somente leitura às credenciais da AWS.
Conectividade de rede segura e confiável entre o Ops Manager, o Backup Daemon e o HashiCorp Vault.
Migrar armazenamentos de snapshots existentes para o HashiCorp Vault
Para alterar as credenciais locais de um armazenamento de snapshots compatível com S3existente para o HashiCorp Vault:
Crie uma configuração de cofre de chave, conforme descrito em Configurar um cofre de chave para armazenamentos de snapshots.
Edite o3armazenamento de snapshots compatível com S e defina seu local de armazenamento de credenciais para o cofre de chaves, conforme descrito em Editar um3armazenamento de snapshots compatível com S existente.