로커 생성

로커를 만들어 다른 사용자와 공유할 비슷한 자격증명을 그룹화합니다.

전제 조건

AAE_Locker Admin 역할 또는 내 자격증명 및 로커 관리 권한과 사용자 및 역할 보기에 필요한 권한이 있어야 합니다.
주:
  • 다른 사용자를 로커 소유자/관리자/참가자로 추가하려면 해당 사용자에 대한 정보를 볼 수 있는 사용자 및 역할 보기 기본 권한이 있어야 합니다. 이 권한이 없으면 ‘액세스 거부됨’ 오류가 발생합니다.

    Credential Vault 자격증명 관리에 대한 RBAC 항목을 참조하십시오.

  • 예약된 네임스페이스이므로 oauth_로 시작하는 로커 이름(대소문자를 구분하는 예: OAuth_, oAuth_ 등)을 사용하지 마십시오.
로커에 저장할 수 있는 자격증명 수에는 제한이 없습니다. 한 자격증명은 하나의 로커에만 속할 수 있습니다. 자격증명 생성 항목을 참조하십시오. 자격증명은 로커라는 논리적 그룹으로 나뉩니다.

프로시저

로커를 만들려면 다음 단계에 따릅니다.

  1. 관리 > 자격증명으로 이동하고 로커 탭을 클릭합니다.
  2. 로커 생성을 클릭합니다.
  3. 이름을 입력합니다.
  4. 옵션: 설명을 입력하십시오.
  5. 로커에 추가할 자격증명을 선택하거나 외부 키 저장소를 선택합니다.
  6. 외부 키 저장소 자격증명을 입력합니다.
    AWS, Azure, CyberArk 또는 HashiCorp와 같은 외부 키 저장소와 통합하는 경우 지정된 외부 로커에 필요한 자격증명을 입력합니다.
    AWS
    로커에 저장된 비밀의 접두사를 입력합니다.
    CyberArk
    자격증명 로커가 저장되는 안전한 이름을 입력하고 선택적으로 CyberArk 사용자 이름으로 설정된 속성을 입력합니다. $attribute$ 속성은 CyberArk 객체 속성에서 정보를 검색하는 데 사용됩니다. 여러 CyberArk 객체 속성을 결합하여 속성 집합을 만들 수 있습니다.

    다음 예는 다양한 시나리오에서 속성 집합을 만드는 방법을 보여줍니다.

    • domain\username 형식의 사용자 이름을 사용하려면 도메인은 Address라는 CyberArk 속성에 저장되고 사용자 이름은 UserName이라는 CyberArk 속성에 저장되는 경우 $Address$\$UserName$ 형식의 속성을 자격증명 속성에 입력하고 이 속성 집합을 Bot 자동화에서 사용합니다.
    • username@example.com 형식의 사용자 이름을 사용하려면 도메인은 Address라는 CyberArk 속성에 저장되고 사용자 이름은 UserName이라는 CyberArk 속성에 저장되는 경우 $UserName$@$Address$ 형식의 속성을 자격증명 속성에 입력하고 이 속성 집합을 Bot 자동화에서 사용합니다.
    Azure
    로커에 저장된 접두사를 입력합니다.
    HashiCorp
    로커에 저장된 비밀의 접두사를 입력합니다. 예를 들어 prfusr1_obj1_usr1로 저장되는 비밀에 접두사 prfusr1를 입력합니다.
  7. 다음을 클릭합니다.
  8. 소유자를 추가합니다.
    로커에는 최소한 하나 이상의 소유자가 있어야 합니다. 로커 소유자는 로커를 편집하고, 보고, 삭제할 수 있으며 다른 소유자를 추가하거나 제거할 수도 있습니다.
  9. 다음을 클릭합니다.
  10. 옵션: 관리자를 추가하고 다음을 클릭합니다.
    로커 관리자는 로커를 보고, 편집하고, 삭제할 수 있으며, 참가자를 추가할 수 있지만 소유자나 관리자를 로커에 추가할 수는 없습니다.
  11. 옵션: 참가자를 추가하고 다음을 클릭합니다.
    로커 참가자는 로커를 볼 수 있는 접근권이 있으며 자신의 자격증명을 로커에 추가할 수 있습니다.
    주: 로커 참가자는 다른 사용자가 생성한 자격증명에 액세스하거나 이를 볼 수 없습니다.
  12. 소비자를 추가합니다.
    하나 이상의 역할을 선택합니다. 이 역할을 가진 사용자는 로커에 액세스할 수 있습니다. 시스템에서 생성한 역할은 소비자 목록에 표시되지 않습니다.
    유형권한
    표준 로커 소비자는 로커로커 안의 모든 자격증명을 볼 수 있습니다. 모든 소비자는 자격증명 소유자가 설정한 동일한 자격증명 값을 보게 됩니다.
    사용자 제공 로커(locker) 소비자는 사용자가 제공한 속성을 이용하여 사용자가 제공한 자격증명에 정보를 입력할 수 있습니다.
  13. 로커 생성을 클릭합니다.
이메일 알림 설정이 활성화된 경우, 사용자는 로커 이름 및 해당 로커에 대한 이용 권한을 확인하는 이메일을 받게 됩니다.