HashiCorp Vault 통합
- 업데이트됨: 2023/11/20
HashiCorp Vault 통합
Automation 360을 통합하여 HashiCorp Vault에서 자격증명을 검색할 수 있습니다. 자격증명은 관리, 회전 및 동기화할 수 있는 HashiCorp Vault에 상주합니다.
참고: HashiCorp 마크 및 로고는 AHashiCorp, Inc.의 상표 또는 등록 상표이며 식별 목적으로만 사용됩니다.
HashiCorp HTTP API를 통해 Control Room을 HashiCorp Vault에 연결하여 통합합니다.
다음 테이블에는 다양한 배포 유형에서 지원하는 기능이 나열되어 있습니다.
| 기능 | 클라우드 | 온프레미스 |
|---|---|---|
| 에이전트 자동화 자격증명 | 지원됨 | 지원됨 |
| 에이전트 자동 로그인 자격증명 | 지원됨 | 지원됨 |
| 부트스트랩 및 시스템 자격증명 | 지원되지 않음 | 지원됨 |
다음 배포 중 하나를 사용하여 Control Room을 HashiCorp Vault와 통합할 수 있습니다.
- 클라우드
다음 다이어그램은 Control Room이 AAI Cloud에서 호스팅되는 클라우드 배포를 보여줍니다.
- 온프레미스
온프레미스 배포의 경우 다음을 배포합니다.
- 고객 환경 내 소프트웨어로서 Control Room.
- 자동화를 통해 고객 애플리케이션을 실행하고 액세스하는 고객 환경 내 Bot 에이전트
주: 인터넷을 통해 온프레미스 Control Room을 HashiCorp 클라우드에 연결할 수도 있습니다.
HashiCorp Vault 통합 요구 사항
- HashiCorp 서비스는 Control Room에서 액세스할 수 있어야 합니다.
- HashiCorp 외부 키 저장소는 네트워크 경계 방화벽 규칙을 통해 Cloud Control Room에서 이용할 수 있어야 합니다. 외부 방화벽 규칙 구성에 관한 세부 정보는 외부 통합을 위한 Automation 360 IP 주소를 참조하세요.
- HashiCorp Vault에 다음 값이 구성되어 있는지 확인하십시오. Control Room에서 저장소를 구성할 때 이 값을 사용하기 때문입니다. HashiCorp에서 이러한 값을 구성하는 방법에 대한 자세한 내용은 AppRole Auth Method을 참조하십시오.주: 온프레미스 배포의 경우 설치 중에 또는 설치 후 키 저장소 유틸리티를 사용하여 외부 키 저장소 설정을 구성할 수 있습니다. 더 자세히 알아보려면 다음 항목을 클릭하시기 바랍니다.
필드 이름 설명 볼트 URL HashiCorp 볼트 URL을 지정합니다. 예: https://<host> 또는 https://<host or IP>:<port> 역할 ID 구성된 HashiCorp 서버의 RoleID를 지정합니다. 예시: 675a50e7-cfe0-be76-e35f-49ec009731ea. AppRole Pull Authentication 항목을 참조하십시오. 역할 이름 구성된 HashiCorp 서버의 역할 이름을 지정합니다. 예시: jenkins. AppRole Pull Authentication 항목을 참조하십시오. 비밀 ID 구성된 HashiCorp의 비밀 ID를 지정합니다. 예시: ed0a642f-2acf-c2da-232f-1b21300d5f29. AppRole Pull Authentication 항목을 참조하십시오. 네임스페이스 (선택 사항) 조직(테넌트)의 네임스페이스를 지정합니다. 예시: teant1. 선택적 인증서 HashiCorp 서버 공용 인증서를 Control Room으로 업로드합니다. 인증서는 PEM 형식(.pem 또는 .cer)이어야 합니다. 예시: C:\John\certs\hashicorpserver.pem.
HashiCorp Vault 설치
HashiCorp Vault를 설치하고 구성해야 합니다. HCP Vault Quick Start 항목을 참조하십시오.
HashiCorp Vault에서의 AppRole 사용
AppRole은 애플리케이션이 저장소와 상호 작용할 수 있도록 HashiCorp Vault에서 사용되는 인증 방법입니다. AppRole은 인증에 다음 값을 사용합니다.
- RoleID: AppRole의 고유 식별자입니다. 애플리케이션 인스턴스 수에 관계없이 역할 ID를 사용할 수 있습니다.
- SecretID: AppRole을 인증하는 데 사용되는 임의로 생성된 값입니다. 비밀 ID는 애플리케이션의 단일 인스턴스용으로 사용되며 수명이 짧고 승인된 애플리케이션에서만 사용할 수 있습니다.중요사항: 이 값은 공유하지 않는 것이 좋습니다.
- 역할 이름: 역할은 역할 이름별로 나열됩니다.
- 네임스페이스: 각 테넌트가 권한이 있는 비밀에만 액세스할 수 있도록 비밀 그룹을 만들고 해당 네임스페이스에 정책을 적용할 수 있습니다.
AppRole을 구성하는 방법에 대한 자세한 내용은 AppRole Auth Method을 참조하십시오.
서버 인증서 가져오기
온프레미스 배포에서 개별 서버 인증서를 신뢰 저장소로 가져올 수 있습니다. 그러나 발급 인증 기관(CA) 인증서를 가져오는 것이 좋습니다. 자세한 내용은 HTTPS SSL, 중간 인증서, CA 인증서 가져오기 항목을 참조하십시오.
- 클라이언트(Automation 360Control Room)는 HashiCorp Vault(보호된 리소스)에 요청을 보냅니다.
- 그런 다음, 서버는 인증서를 클라이언트에 다시 보내 응답합니다.
- Control Room는 Control Room 신뢰 저장소의 공개 부분에 저장된 신뢰할 수 있는 서버 인증 정보와 대조하여 검증함으로써 HashiCorp 서버에서 보낸 인증서를 확인합니다.
- 인증서가 다음에 기반한 유효성 검사를 통과하면 양쪽 당사자(클라이언트와 서버)는 보호된 리소스에 액세스할 수 있습니다.
- Control Room은 HashiCorp 서버의 인증서를 신뢰해야 합니다.
- 인증서의 제목 필드는 호출 시스템의 정규화된 도메인 이름(DNS 이름)과 일치합니다.
- 인증서가 만료되지 않았습니다.
HashiCorp HTTP API 구성 요구 사항
Control Room과 HashiCorp 서버 간에 네트워크 연결이 있어야 합니다. Control Room은 온프레미스 또는 클라우드 배포 모두에 대해.HashiCorp HTTP API를 통해 HashiCorp Vault에 연결됩니다.
HashiCorp API를 사용하려면 다음 필수 매개변수를 설정해야 합니다.
- 볼트 URL
- 역할 ID
- 역할 이름
- 비밀 ID
- 네임스페이스 (선택 사항):
- 선택적 인증서
HashiCorp 자격증명 용어 및 식별자 검토
HashiCorp와 Automation Anywhere 는 자격증명을 설명하고 식별하기 위해 상이한 용어를 사용합니다.
| 설명 | HashiCorp | Automation Anywhere |
|---|---|---|
| 자격증명이 저장되는 위치 | 비밀 | 자격증명 |
- HashiCorp의 자격증명은 비밀로 저장됩니다.
- Automation Anywhere의 자격증명은 로커에 저장되며, 여기서 각 로커는 Control Room 사용자에 대한 액세스 제어 권한이 있습니다.
- 사용자 이름: john
- 비밀번호: 2zR%#sX#g
- 이메일: john@email.com
- 비밀번호: my-long-passcode
HashiCorp 비밀 ID 교체
Control Room은 예약된 작업을 실행하여 테넌트의 HashiCorp 비밀 ID를 사전에 교체합니다. 이 프로세스는 키 저장소 자격증명과 관련된 자동화가 중단 없이 실행되도록 합니다. 기본적으로 비밀 ID 교체 빈도는 매시간입니다. 비밀 ID는 비밀 ID의 만료 시간에 따라 변경됩니다. 비밀 ID의 2/3가 만료되면 비밀 ID를 변경할 수 있습니다.
만약 HashiCorp 비밀 ID 교체에 실패하면 다음 클라우드 또는 온프레미스 절차를 사용하여 비밀 ID를 수동으로 변경할 수 있습니다. :