Geheimspeicher: Geheimnisse speichern und auf sie zugreifen

Sicherheit > Geheimspeicher-Navigationskopfzeile

 

Geheimspeicher in /appliance hinzufügen

Erstellen und verwalten Sie in AWS und BeyondTrust DevOps Secrets Safe (DSS) gespeicherte geheime Schlüssel, um Verschlüsselungsschlüssel und Website-Daten sicher zu verwahren. Um einen Geheimspeicher hinzuzufügen, wählen Sie den Speicher aus der Dropdown-Liste aus und klicken Sie dann auf Speicher hinzufügen. Geben Sie die Informationen für den Speicher wie in den folgenden Schritten gezeigt ein und speichern Sie sie.

 

AWS-Geheimspeicher in /appliance hinzufügen.

AWS-Geheimspeicher hinzufügen

  1. Geben Sie die Zugriffsschlüssel-ID, den geheimen Zugriffsschlüssel und die Region an.
  2. Aktivieren Sie das Kontrollkästchen Zugangsschlüssel rotieren nur, wenn Sie die gleichen IAM-Anmeldedaten in keinem anderen System verwenden.
  3. Klicken Sie auf Speicher speichern.
  4. Außerdem muss jede Firewall ausgehenden Datenverkehr zu den IP-Adressen zulassen, die mit dem für den Geheimspeicher verwendeten regionalen Endpunkt verbunden sind.

Die IP-Adressen können sich ändern. Die aktuelle Liste der IP-Adressen finden Sie unter AWS IP-Adressbereiche.

Eine Liste der Endpunkte finden Sie unter AWS Secrets Manager Endpunkte und Kontingente.

BeyondTrust DevOps Secrets Safe Speicher hinzufügen

DevOps Secrets Safe-Speicher in /appliance hinzufügen.

  1. Geben Sie die URL für Ihre DSS-Instanz ein.
  2. Geben Sie den Anwendungsnamen an, den Sie in DSS konfiguriert haben.
  3. Geben Sie den in DSS generierten API-Schlüssel für die Anwendung an.
  4. Geben Sie den Secret-Scope ein, den Sie mit Berechtigungen in DSS konfiguriert haben.
  5. Wenn Sie ein selbstsigniertes Zertifikat in DSS verwenden, fügen Sie das vertrauenswürdige Zertifikat hinzu. Wenn Sie ein CA-Zertifikat verwenden, müssen Sie kein vertrauenswürdiges Zertifikat bereitstellen.
  6. Klicken Sie auf Speicher speichern.

 

 

Konfigurierte Geheimspeicher in /appliance

Wenn Sie einen Geheimspeicher hinzugefügt haben, klicken Sie auf Testen, um die Verbindung mit dem Geheimspeicher-Server zu überprüfen und sicherzustellen, dass die richtigen Berechtigungen vorliegen, damit mit den Anmeldedaten auf den Geheimspeicher-Server zugegriffen werden kann.

 

KMIP-Geheimspeicher in /appliance bearbeiten

Das Konfigurieren eines KMIP-Servers für einen Verschlüsselungsspeicher wird in Version 6.0 und höher nicht mehr unterstützt. Wenn Sie vor Version 6.0 einen KMIP-Server zur Verschlüsselung konfiguriert haben, wird Ihr KMIP-Server in die Liste der Geheimspeicher migriert. Dort können Sie ihn bearbeiten, löschen, und testen.

 

 

 

Konfigurieren Sie für zusätzliche Sicherheit Ihre AWS-Identitäts- und Zugriffsverwaltungsrichtlinie (IAM), um den Zugriff auf Ressourcen, die BeyondTrust-* entsprechen, bei folgenden Berechtigungen zu begrenzen:
  • DescribeSecret
  • GetSecretValue
  • TagResource
  • UntagResource
  • CreateSecret
  • DeleteSecret
  • UpdateSecret

Weitere Informationen zur Verwaltung von AWS IAM-Richtlinien finden Sie in Verwalten von IAM-Richtlinien.

Wenn Sie den letzten Remote-Speicher löschen, wird eine Meldung angezeigt, dass die Secrets lokal verschoben werden.