Key Vault 配置存储Ops Manager用于从 HashiCorp Vault 读取凭证的连接和身份验证详细信息。创建密钥保管库后,可以将 S3 兼容快照存储配置为从该密钥保管库读取其 AWS凭证。要学习;了解更多信息,请参阅 HashiCorp Vault for Snapshot Store Credentials(适用于快照存储档案的 HashiCorp Vault)。
先决条件
在配置密钥保管库之前,您必须具备:
可访问的 HashiCorp Vault部署。
授予Ops Manager对 AWS凭证的只读访问权限的 Vault 策略、角色和密钥路径。
Global OwnerOps Manager中的 角色。
步骤
提供密钥保管库详细信息。
字段 | 必要性 | 说明 |
|---|---|---|
密钥保管库提供程序 | 必需 | 选择 HashiCorp Vault 。 |
保管库地址 | 必需 | 输入 HashiCorp Vault服务器的解决,例如 |
保管库名称 | 必需 | 输入此密钥保管库配置的标识符。 |
身份验证方法 | 必需 | 选择Ops Manager用于向 HashiCorp Vault 进行身份验证的方法:
|
Vault Token | 可选的 | 输入 Vault 令牌。当您将 Authentication Method设立为 Token 时, Ops Manager会显示此字段。 |
JWT 私钥 | 可选的 | 输入用于对 JWT 进行签名的 PEM 格式的 RSA 私钥。当您将 设立为 时, Ops Manager会显示此字段。Authentication MethodJSON Web Tokens (JWT) |
JWT 声明 | 可选的 | 输入Ops Manager在请求 JWT 登录时发送的 和 声明。当您将 设立为 时, Ops Manager会显示此字段。 |
自定义 CA 证书(可选) | Optional | 单击Select Certificate (上传 PEM 格式的自定义证书颁发机构证书)以进行 TLS 验证。 |
向密钥保管库端点发送请求。
POST向“创建一个密钥保管库配置”端点发送 请求。指定friendlyName 、type 、url 和auth 字段。
curl --user '{PUBLIC-KEY}:{PRIVATE-KEY}' --digest \ --header 'Accept: application/json' \ --header 'Content-Type: application/json' \ --include \ --request POST 'https://<OpsManagerHost>:<Port>/api/public/v1.0/admin/keyVault?pretty=true' \ --data '{ "friendlyName": "myVault", "type": "HASHI_CORP", "url": "https://localhost:8200/", "auth": { "mechanism": "TOKEN", "secret": "<vault-token>" } }'