DCM 外部加密保管库
通过外部加密保管库功能,您可以将 DCM 连接到您选择的加密保管库(请参阅 受支持的加密保管库 )。通过这种方式,您可以在 DCM 中使用外部加密保管库从您的加密保管库中获取凭据,并在工作流中安全地使用它们。
我们支持在 Designer 22.3 及更高版本中使用外部加密保管库。
外部加密保管库配置
要配置外部加密保管库,必须启用 DCM。如需了解如何启用 DCM,请参阅文章 DCM - Designer 。要将 DCM 连接到您的加密保管库:
在 Designer 中依次选择 文件 管理连接 ,以打开 DCM。
转到 外部加密保管库 选项卡。
选择 + 新建 。
输入加密保管库名称。
链接到"技术"。
在 端点 输入中提供您的加密保管库地址,例如
https://myvault.hashicorp.cloud:8200/
。选择 保存 。
然后,选择用于进入您的加密保管库的身份验证凭证:
选择 身份验证方法 。
填写凭证信息。
选择 链接 。
您现在可以选择此外部加密保管库作为凭证来源。
创建外部加密保管库凭证
要创建包含外部加密保管库身份验证数据的新凭证,您必须:
打开 DCM 。
打开 凭证 选项卡。
选择 + 添加凭证 。
输入凭证名称。
从 加密保管库 下拉菜单中选择加密保管库。
在 加密保管库路径 中输入所选加密保管库的密钥路径。使用斜线进行分隔,例如
path/to/secret
。选择 身份验证方法 。
如果您想从加密保管库中获取凭证,请选中 使用加密保管库中的值 复选框。
然后使用 Javascript 对象表示法输入密钥 - 用户名(当访问密钥值类型的密钥时)或 JSON 路径(如果检索到的密钥是更复杂的 JSON 对象),例如
secrets.username
。不支持其他类型的密钥。
如果要手动输入凭证值的任何部分(并将其保存在 DCM 中),请取消选中 使用加密保管库中的值 复选框。
然后输入实际凭证值(例如,您的用户名)。
选择 保存 。
现在,可以在您的工作流中使用新保存的凭证了,就像使用其他 DCM 凭证一样。
编辑外部加密保管库凭证
打开 DCM 。
打开 凭证 选项卡。
选择要编辑的凭证。
选择 编辑 。
更新凭证详细信息。
选择 保存 。
删除外部加密保管库凭证
打开 DCM 。
打开 凭证 选项卡。
选择要删除的凭证。
选择 垃圾箱 图标。
选择 删除 进行确认。
受支持的加密保管库
Hashicorp 加密保管库(KV 密钥引擎) - 在 Designer 22.3 和更高版本中支持。
CyberArk Conjur - 在 Designer 22.3 和更高版本中支持。
AWS 秘钥管理器