Geheimenarchief: Opslag van en toegang tot geheimen

Beveiliging > Kop navigatie geheimenarchief

 

Een geheimenarchief toevoegen in /appliance

Geheime codes aanmaken en beheren in AWS en BeyondTrust DevOps Secrets Safe (DSS) om versleutelde codes en sitegegevens veilig op te slaan. Om een geheimenarchief toe te voegen, selecteert u het archief uit het vervolgkeuzemenu en vervolgens klikt u op Archief toevoegen. Volg onderstaande stappen om de informatie voor het archief in te vullen en op te slaan.

 

Voeg een AWS-geheimenarchief toe in /appliance.

AWS-geheimenarchief toevoegen

  1. Vul de Toegangscode-ID, Geheime toegangscode en Regio in.
  2. Schakel het selectievakje Toegangscode roteren alleen in als u geen van dezelfde referenties van de IAM-gebruiker in een ander systeem gebruikt.
  3. Klik op Archief opslaan.
  4. Daarnaast moet een firewall uitgaand verkeer toestaan naar de IP-adressen die zijn gekoppeld aan het regio-eindpunt dat voor het geheimenarchief wordt gebruikt.

IP-adressen kunnen veranderen. Raadpleeg de huidige lijst met IP-adressen in IP-adresbereiken voor AWS.

De lijst met eindpunten is te vinden in Eindpunten en quota voor AWS Secrets Manager.

BeyondTrust DevOps Secrets Safe-archief toevoegen

Voeg een DevOps Secrets Safe-archief toe in /appliance.

  1. Voer de URL voor uw DSS-exemplaar in.
  2. Geef de Toepassingsnaam op die u binnen DSS hebt geconfigureerd.
  3. Geef de API-sleutel op die binnen DSS is gegenereerd voor de toepassing.
  4. Voer het Geheimen-bereik in dat u met machtigingen binnen DSS hebt geconfigureerd.
  5. Als u een zelf ondertekend certificaat gebruikt in DSS, voeg dan het Vertrouwd certificaat toe. Als u een CA-certificaat gebruikt, hoeft u geen vertrouwd certificaat te verstrekken.
  6. Klik op Archief opslaan.

 

 

Geconfigureerde geheimenarchieven in /appliance

Nadat een geheimenarchief is toegevoegd, klikt u op Testen om de connectiviteit met de server van het geheimenarchief te controleren en om u ervan te verzekeren dat de juiste machtigingen voor de inloggegevens van kracht zijn om toegang tot de server van het geheimenarchief te kunnen krijgen.

 

KMIP-geheimenarchief bewerken in /appliance

Het configureren van een KMIP-server voor een versleuteld archief wordt niet meer ondersteund in versie 6.0 en latere versies. Als u een KMIP-server geconfigureerd hebt voor uw versleuteling vóór versie 6.0, wordt uw KMIP-server verplaatst naar de lijst met het Geheimenarchief; daar kunt u het archief bewerken, verwijderen en testen.

 

 

 

Voor extra veiligheid kunt u uw AWS Identity and Access Management (IAM)-beleid configureren om toegang te beperken tot hulpbronnen die overeenkomen met BeyondTrust-* wat betreft de volgende machtigingen:
  • DescribeSecret
  • GetSecretValue
  • TagResource
  • UntagResource
  • CreateSecret
  • DeleteSecret
  • UpdateSecret

Meer informatie over he beheren van AWS IAM-beleid vindt u onder IAM-beleid beheren.

Als u het laatste externe archief verwijdert, verschijnt er een bericht met de mededeling dat geheimen naar lokaal verplaatst zullen worden.