Post-installation Sur site à l'aide d'AWS Secrets Manager

Utilisez l'utilitaire interactif de coffre à clé en ligne de commande au cours d'un temps d'arrêt planifié du système et arrêtez tous les services Control Room en cours d'exécution. Vous devez coordonner tout changement de configuration du coffre à clé qui pourrait avoir un impact sur les paramètres de connectivité (tels que AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, et AWS_SESSION_TOKEN) pendant un temps d'arrêt avec l'équipe d'administrateurs d'AWS.

Prérequis

Remarque : Si vous utilisez l'utilitaire de coffre à clé pour désactiver l'intégration d'AWS Secrets Manager, vous devez d'abord démapper toutes les informations d'identification mappées qui sont utilisées.

En utilisant la méthode de post-installation, vous pouvez effectuer ces actions :

  • Modifier ou configurer les paramètres de connexion du coffre à clé externe.
  • (S'ils n'ont pas été configurés lors de l'installation initiale) Modifier ou configurer les informations d'identification du compte de service (mot de passe de l'administrateur Active Directory).
  • (S'ils n'ont pas été configurés lors de l'installation initiale) Modifier ou configurer les informations d'identification de la base de données (amorçage) (récupérées lors de l'authentification de la base de données).
    Remarque : La récupération des informations d'identification d'amorçage à partir d'un coffre à clé externe peut entraîner l'échec de Control Room si le coffre à clé externe n'est pas accessible pendant le démarrage, ou si le coffre à clé externe n'est pas accessible lorsque Control Room rafraîchit les connexions à la base de données et authentifie les utilisateurs avec Active Directory.
  • Récupérez la Control Room pour les raisons suivantes :
    • En modifiant les paramètres de connexion du coffre à clé externe, le compte de service et les identifiants d'objet et de sécurité des informations d'identification de la base de données.
    • Si les modifications des paramètres de connexion d'AWS Secrets Manager ont provoqué des problèmes de connectivité dans la Control Room.
    • Lorsque les identifiants des informations d'identification des mots de passe d'amorçage changent.

      Vous pouvez corriger les paramètres de configuration initiale qui n'ont pas été définis correctement et récupérer le système.

Vous pouvez configurer et modifier les identifiants d'informations d'identification SMTP et AD pour récupérer les informations du coffre à clé externe à partir de Automation 360 Control Room en accédant à Administration > Paramètres > Active Directory.

Procédure

  1. Exécution de l'utilitaire de coffre à clé pour AWS Secrets Manager : Pour exécuter l'utilitaire de coffre à clé et mettre à jour les paramètres de connexion du coffre à clé :
    1. En tant qu'administrateur Control Room, accédez au répertoire d'installation Automation Anywhere Control Room qui a été créé lors de l'installation initiale de Automation 360.
      Par exemple : C:\Program Files\Automation Anywhere\Enterprise
    2. Téléchargez la dernière version de l'utilitaire de coffre à clé. Pour télécharger le fichier .jar utilisé pour mettre à jour le répertoire, ouvrez un navigateur et accédez au site A-People : A-People Downloads page (Login required).
      Remarque : Si l'authentification de la base de données est configurée pour utiliser un coffre à clé externe, l'utilitaire renvoie une exception comme suit : Database currently configured to retrieve credentials from key vault. Update database authentication to WINDOWS/SQL to proceed further and exit.
      L'utilitaire demande à l'utilisateur de confirmer l'action : Disable/update of key vault might impact functionalities using key vault (for example, Active Directory configuration, Email Settings configuration). Make sure to update these settings (if any). Are you sure you want to continue?
    3. Saisissez Y pour continuer.
    4. Renseignez les champs suivants :
      > jdk11\bin\java -jar certmgr.jar -appDir . -importTrustCert <Full path of the certificate>
    5. Ajoutez ces arguments jvm à la commande pour exécuter l'utilitaire de coffre à clé :
      1. -Djavax.net.ssl.trustStore="C:\Program Files\Automation Anywhere\Enterprise\pki\trust\store.ks"
      2. -Djavax.net.ssl.trustStorePassword=changeit --module-path lib -jar crutils.jar -configPath "C:\Program Files\Automation Anywhere\Enterprise\config" -action [UPDATE_KEY_VAULT_CONFIGURATION or UPDATE_DB_AUTHENTICATION_CONFIGURATION]

      Vous pouvez mettre à jour l'une ou l'autre de ces actions de configuration :

      • Saisissez UPDATE_KEY_VAULT_CONFIGURATION pour modifier la configuration d'AWS Secrets Manager.
      • Saisissez UPDATE_DB_AUTHENTICATION_CONFIGURATION pour passer à l'authentification de base de données à l'aide d'un coffre à clé externe.
  2. En fonction de l'action de configuration que vous avez utilisée, choisissez l'action appropriée :
    • Mise à jour de la configuration du coffre à clé pour AWS : Si vous avez saisi UPDATE_KEY_VAULT_CONFIGURATION comme action de configuration :
      1. Une fois que l'utilitaire a chargé les propriétés et la configuration actuelles du coffre à clé, cette invite s'affiche : Enter key vault [AWS/CYBERARK/AZURE/NONE] :, saisissez AWS
      2. À l'invite Please enter Vault URL:, saisissez (par exemple) : https://services.uscentral.skytap.com:19516
      L'utilitaire de coffre à clé s'exécute. Si la configuration a réussi (l'utilitaire a pu se connecter au coffre à clé externe en utilisant les paramètres configurés), ces messages s'affichent sur la console :
      Connection configurations valid
        Key Vault configurations successfully updated
    • Mise à jour de l'authentification de la base de données pour AWS : Si vous avez saisi UPDATE_DB_AUTHENTICATION_CONFIGURATION comme action de configuration :
      1. Une fois que l'utilitaire a chargé les informations de configuration de la base de données actuelle, cette invite s'affiche :
        Database authentication configurations loaded
        Currently configured database authentication [SQL]
        
        Change database authentication. Available options:
        WINDOWS: Connect to database using windows authentication
        SQL: Connect to database using SQL server authentication, manually enter username and password
        KEY_VAULT: Connect to database using SQL server authentication, retrieve username and password from external key Vault 
        
        Enter database authentication [WINDOWS/SQL/KEY_VAULT]:
        

        Saisissez KEY_VAULT

      2. À l'invite Please enter Secret name:, saisissez (par exemple) : testDB

      L'utilitaire de coffre à clé s'exécute. Si la configuration de la base de données a réussi (l'utilitaire a pu se connecter à AWS, récupérer les informations d'identification désignées, puis les utiliser pour se connecter à la base de données), ces messages s'affichent sur la console :

      Database Credentials are valid
      Database authentication configurations successfully updated