Magasin de secrets : Magasin et accès aux secrets

Sécurité > Magasin de secrets dans /appliance

Ajouter un magasin de secrets dans /appliance

Créez et gérez des clés secrètes stockées dans AWS et (Undefined variable: Products.DSS) (DSS) BeyondTrust pour stocker en toute sécurité les clés de chiffrement et les données de site. Pour ajouter un magasin de secrets, sélectionnez le magasin dans la liste déroulante puis cliquez sur Enregistrer le magasin. Fournissez et enregistrez les informations pour le magasin comme indiqué dans les étapes ci-dessous.

 

Ajouter un magasin de secrets AWS dans /appliance.

Ajouter un magasin de secrets AWS

  1. Indiquez l’ID de clé d’accès, la Clé d’accès secrète et la Région.
  2. Cochez la case Provoquer la rotation de la clé d’accès uniquement si vous n’utilisez pas les informations d’authentification du même utilisateur IAM dans un autre système.
  3. Cliquez sur Enregistrer le magasin.
  4. Il faut également que tout pare-feu autorise le trafic sortant vers les adresses IP associées au point de terminaison régional utilisé pour le magasin de secrets.

 

Les adresses IP peuvent changer. Consultez la liste actuelle des adresses IP sur la page Plages d’adresses IP AWS.

Pour la liste des points de terminaison, consultez la page Points de terminaison et quotas d’AWS Secrets Manager.

 

Ajouter un magasin (Undefined variable: Products.DSS) BeyondTrust

Ajouter un magasin [[[Undefined variable Products.DSS]]] dans /appliance.

  1. Saisissez l’URL pour votre instance DSS.
  2. Indiquez le Nom de l’application que vous avez configuré dans DSS.
  3. Indiquez la Clé d’API générée dans DSS pour l’application.
  4. Saisissez le Secrets Scope que vous avez configuré avec des autorisations dans DSS.
  5. Si vous utilisez un certificat auto-signé dans DSS, ajoutez le Certificat approuvé. Si vous utilisez un certificat d’un AC, vous n’avez pas besoin d’indiquer un certificat approuvé.
  6. Cliquez sur Enregistrer le magasin.

 

Sécurité - Magasin de secrets AWS ajouté

Après l’ajout d’un magasin de secrets, cliquez sur Tester pour vérifier la connectivité au serveur du magasin de secrets et vous assurer que les autorisations appropriées sont en place pour les informations d’authentification permettent d’accéder audit serveur.

 

Modifier un magasin de secrets KMIP dans /appliance

la configuration d’un serveur KMIP pour un magasin de chiffrement n’est plus prise en charge dans la version 6.0 et les suivantes. Si vous avez un serveur KMIP configuré pour votre chiffrement avant la version 6.0, votre serveur KMIP sera migré vers la liste Magasin de secrets où vous pouvez le modifier, le supprimer et le tester.

 

Pour plus de sécurité, configurez votre règle AWS Identity and Access Management (IAM) pour limiter l’accès aux ressources correspondant à BeyondTrust-* aux autorisations suivantes :
  • DescribeSecret
  • GetSecretValue
  • TagResource
  • UntagResource
  • CreateSecret
  • DeleteSecret
  • UpdateSecret

Pour plus d’informations sur la gestion des règles AWS IAM, veuillez consulter Gestion des règles IAM.

si vous supprimez le dernier magasin distant, un message s’affiche indiquant que les secrets seront déplacés localement.