Хранилища секретов
Хранилище секретов — стороннее хранилище, предназначенное для безопасного хранения конфиденциальных данных и учетных записей.
Аутентификационная информация (секрет) для подключения к резервируемым ресурсам хранится в конфигурационных файлах модулей. Если конфигурационные файлы недостаточно защищены или система скомпрометирована, третьи лица могут получить доступ к ресурсам.
Использование внешнего хранилища позволяет:
-
Хранить секреты в зашифрованном виде.
-
Ограничить доступ к данным только авторизованным пользователям СРК RuBackup с соответствующими правами.
-
Управлять чувствительными настройками[1] в модулях.
Поддержка хранилища реализована для всех типов операций: создание и восстановление полных, инкрементальных и дифференциальных резервных копий.
СРК RuBackup совместим с хранилищами секретов:
-
HashiCorp Vault.
-
Deckhouse Stronghold.
Взаимодействие СРК RuBackup с хранилищем секретов происходит через основной сервер (при его недоступности — через резервный).
1. Доступ пользователей к методам
Суперпользователь может назначить Супервайзеру или Администратору доступ к выбранному секрету посредством ассоциации пользователя с методом получения секрета.
Операция |
Роль |
||||
|---|---|---|---|---|---|
Суперпользователь |
Администратор |
Аудитор |
Сопровождающий |
Супервайзер |
|
Редактирование данных хранилища секретов |
|||||
Добавление данных хранилища секретов |
|||||
Удаление данных хранилища секретов |
|||||
Добавление методов получения секретов |
|||||
Просмотр методов получения секретов |
|||||
Редактирование методов получения секретов |
|||||
Удаление методов получения секретов |
|||||
Управление доступом к методам получения секретов |
|||||
— доступ на выбранный метод назначает Суперпользователь |
|||||
2. Управление хранилищами секретов
Для работы с хранилищем секретов в приложении Менеджер администратора RuBackup (RBM) смотрите раздел Хранилище секретов.
Для работы с хранилищем секретов в веб-приложении Tucana смотрите раздел Хранилища секретов.
Для работы с хранилищем секретов с помощью Утилит командной строки
предназначена утилита rb_secret_storage.