Externen Schlüsseltresor ändern

Wenn Sie den externen Schlüsseltresor nicht bei der Erstinstallation integriert haben und ihn ohne Neuinstallation konfigurieren möchten, müssen Sie das Dienstprogramm für den Schlüsseltresor verwenden. Sie müssen das Dienstprogramm für den Schlüsseltresor auch verwenden, um die Verbindungsdetails des externen Schlüsseltresors oder die Bootstrap-Anmeldedaten zu ändern.

In jedem dieser Szenarien verwenden Sie das Dienstprogramm für den Schlüsseltresor:

  • Zum erstmaligen Konfigurieren der Verbindung mit dem externen Schlüsseltresor, wenn diese nicht bei der Erstinstallation konfiguriert wurde und Sie den externen Schlüsseltresor nicht erneut installieren möchten.
  • So ändern Sie die Verbindungsdetails des externen Schlüsseltresors:
    • Beispiel 1: CyberArk Password Vault wird auf einen Server mit einem anderen Namen migriert
    • Beispiel 2: CyberArk Password Vault-Authentifizierungszertifikat wird geändert
    • Beispiel 3: Sie möchten von einer AWS Secrets Manager-Instanz zu einer anderen wechseln
    • Beispiel 4: Sie möchten von einer Azure Key Vault-Instanz zu einer anderen wechseln
    • Beispiel 5: HashiCorp Vault-Authentifizierungszertifikat wird geändert
  • Der Automation 360 Control Room funktioniert nicht mehr, weil die Verbindung zum externen Schlüsseltresor sich geändert hat und der Control Room keine Anmeldedaten mehr aus dem externen Schlüsseltresor abrufen kann.
  • Der Control Room funktioniert nicht richtig, weil die Namen der für die Bootstrap- oder Active Directory-Integration definierten Anmeldedaten geändert wurden.
  • Um KEY_VAULT von einem externen Schlüsseltresor in einen anderen oder in „KEINER“ zu ändern, müssen Sie zunächst manuell Datenbank- und Dienstkontoinformationen festlegen, die derzeit vom externen Schlüsseltresor abgerufen werden.

    Um beispielsweise von einem AWS Secrets Manager-Schlüsseltresor zu einem CyberArk Password Vault zu wechseln, müssen Sie die folgenden Aktionen durchführen:

    1. Setzen Sie das externe Attribut KEY_VAULT auf „KEINER“.
    2. Setzen Sie den externen Schlüsseltresor auf den neuen Schlüsseltresortyp.

    Die folgende Tabelle enthält Leitlinien für akzeptable Zustandsänderungen für das Attribut KEY_VAULT:

    Neuer Schlüsseltresor Original-Schlüsseltresor
    AWS CyberArk Azure HashiCorp Keine
    AWS Ja Nein Nein Nein Ja
    CyberArk Nein Ja Nein Nein Ja
    Azure Nein Nein Nein Nein Ja
    HashiCorp Nein Nein Nein Ja Ja
    Keine Ja Ja Ja Ja Ja
  • Um von einem AWS Secrets Manager-Schlüsseltresor zu einem CyberArk Password Vault (oder umgekehrt) zu wechseln, müssen Sie zunächst das KEY_VAULT-Attribut in „KEINER“ ändern.
  • Wenn Sie einen AWS Secrets Manager Schlüsseltresor oder einen CyberArk Password Vault in „KEINER“ ändern, sollten Sie gewährleisten, dass die Datenbank nicht mit dem KEY_VAULT-Attribut verbunden ist.