HashiCorp Vault 통합
- 최종 업데이트2024/10/31
HashiCorp Vault 통합
Automation 360을 통합하여 HashiCorp Vault에서 자격증명을 검색할 수 있습니다. 자격증명은 관리, 회전 및 동기화할 수 있는 HashiCorp Vault에 상주합니다.
참고: HashiCorp 마크 및 로고는 AHashiCorp, Inc.의 상표 또는 등록 상표이며 식별 목적으로만 사용됩니다.
HashiCorp HTTP API를 통해 Control Room을 HashiCorp Vault에 연결하여 통합합니다.
다음 테이블에는 다양한 배포 유형에서 지원하는 기능이 나열되어 있습니다.
기능 | 클라우드 | 온프레미스 |
---|---|---|
에이전트 자동화 자격증명 | 지원됨 | 지원됨 |
에이전트 자동 로그인 자격증명 | 지원됨 | 지원됨 |
부트스트랩 및 시스템 자격증명 | 지원되지 않음 | 지원됨 |
다음 배포 중 하나를 사용하여 Control Room을 HashiCorp Vault와 통합할 수 있습니다.
-
클라우드
다음 다이어그램은 Control Room이 AAI Cloud에서 호스팅되는 클라우드 배포를 보여줍니다.
-
온프레미스
온프레미스 배포의 경우 다음을 배포합니다.
- 고객 환경 내 소프트웨어로서 Control Room.
- 자동화를 통해 고객 애플리케이션을 실행하고 액세스하는 고객 환경 내 Bot 에이전트
주: 인터넷을 통해 온프레미스 Control Room을 HashiCorp 클라우드에 연결할 수도 있습니다.
HashiCorp Vault 통합 요구 사항
- HashiCorp 서비스는 Control Room에서 액세스할 수 있어야 합니다.
- HashiCorp 외부 키 저장소는 네트워크 경계 방화벽 규칙을 통해 Cloud Control Room에서 이용할 수 있어야 합니다. 외부 방화벽 규칙 구성에 관한 세부 정보는 외부 통합을 위한 Control Room IP 주소 항목을 참조하십시오.
- 다음을 사용 중이어야 합니다.
- HashiCorp Vault 1.13.x 또는 1.14.x.및 HashiCorp KV 시크릿 엔진 - 버전 2.
- 기본 시크릿 엔진 경로: /secret. 모든 시크릿은 시크릿 엔진의 루트 아래에 생성해야 합니다(/secret). HashiCorp Vault API에 액세스하려면 Control Room은 입력한 저장소 URL에 기본 시크릿 엔진 경로 v1/secret/data를 자동으로 추가합니다(예: https://<hostname1:port_num>/v1/secret/data). 지정된 RoleID를 가진 역할이 이 경로에 대한 읽기 권한 이상을 가지고 있고 모든 시크릿이 secrets 엔진에서 생성되었는지 확인합니다.
- HashiCorp Vault REST API.
- API 엔진 경로: /v1/secret/data.
-
X-Vault-Namespace
헤더를 절대 또는 상대 네임스페이스 경로로 설정하여 특정 네임스페이스 아래의 API 작업 - 기본 경로 이름이 "approle"인 AppRole을 사용하는 인증 방법. 사용자 정의 AppRole 경로 이름은 지원되지 않습니다.
HashiCorp Vault 설치
HashiCorp Vault를 설치하고 구성해야 합니다. HCP Vault Quick Start 항목을 참조하십시오.
HashiCorp Vault에서의 AppRole 사용
AppRole은 애플리케이션이 저장소와 상호 작용할 수 있도록 HashiCorp Vault에서 사용되는 인증 방법입니다. AppRole은 인증에 다음 값을 사용합니다.
- RoleID: AppRole의 고유 식별자입니다. 애플리케이션 인스턴스 수에 관계없이 역할 ID를 사용할 수 있습니다.
- SecretID: AppRole을 인증하는 데 사용되는 임의로 생성된 값입니다. 비밀 ID는 애플리케이션의 단일 인스턴스용으로 사용되며 수명이 짧고 승인된 애플리케이션에서만 사용할 수 있습니다.중요사항: 이 값은 공유하지 않는 것이 좋습니다.
- 역할 이름: 역할은 역할 이름별로 나열됩니다.
- 네임스페이스: 각 테넌트가 권한이 있는 비밀에만 액세스할 수 있도록 비밀 그룹을 만들고 해당 네임스페이스에 정책을 적용할 수 있습니다.
AppRole을 구성하는 방법에 대한 자세한 내용은 AppRole Auth Method을 참조하십시오.
서버 인증서 가져오기
온프레미스 배포에서 개별 서버 인증서를 신뢰 저장소로 가져올 수 있습니다. 그러나 발급 인증 기관(CA) 인증서를 가져오는 것이 좋습니다. 자세한 내용은 HTTPS SSL, 중간 인증서, CA 인증서 가져오기 항목을 참조하십시오.
- 클라이언트(Automation 360 Control Room)는 HashiCorp Vault(보호된 리소스)에 요청을 보냅니다.
- 그런 다음, 서버는 인증서를 클라이언트에 다시 보내 응답합니다.
- Control Room는 Control Room 신뢰 저장소의 공개 부분에 저장된 신뢰할 수 있는 서버 인증 정보와 대조하여 검증함으로써 HashiCorp 서버에서 보낸 인증서를 확인합니다.
- 인증서가 다음에 기반한 유효성 검사를 통과하면 양쪽 당사자(클라이언트와 서버)는 보호된 리소스에 액세스할 수 있습니다.
- Control Room은 HashiCorp 서버의 인증서를 신뢰해야 합니다.
- 인증서의 제목 필드는 호출 시스템의 정규화된 도메인 이름(DNS 이름)과 일치합니다.
- 인증서가 만료되지 않았습니다.
HashiCorp HTTP API 구성 요구 사항
Control Room과 HashiCorp 서버 간에 네트워크 연결이 있어야 합니다. Control Room은 온프레미스 또는 클라우드 배포 모두에 대해.HashiCorp HTTP API를 통해 HashiCorp Vault에 연결됩니다.
HashiCorp API를 사용하려면 다음 필수 매개변수를 설정해야 합니다.
- 볼트 URL
- 역할 ID
- 역할 이름
- 비밀 ID
- 비밀 엔진 경로
- 네임스페이스 (선택 사항):
- 선택적 인증서
HashiCorp 자격증명 용어 및 식별자 검토
HashiCorp와 Automation Anywhere 는 자격증명을 설명하고 식별하기 위해 상이한 용어를 사용합니다.
설명 | HashiCorp | Automation Anywhere |
---|---|---|
자격증명이 저장되는 위치 | 비밀 | 자격증명 |
- HashiCorp의 자격증명은 비밀로 저장됩니다.
- Automation Anywhere의 자격증명은 로커에 저장되며, 여기서 각 로커는 Control Room 사용자에 대한 액세스 제어 권한이 있습니다.
- 사용자 이름: john
- 비밀번호: 2zR%#sX#g
- 이메일: john@email.com
- 비밀번호: my-long-passcode
HashiCorp 비밀 ID 교체
Control Room은 예약된 작업을 실행하여 테넌트의 HashiCorp 비밀 ID를 사전에 교체합니다. 이 프로세스는 키 저장소 자격증명과 관련된 자동화가 중단 없이 실행되도록 합니다. 기본적으로 비밀 ID 교체 빈도는 매시간입니다. 비밀 ID는 비밀 ID의 만료 시간에 따라 변경됩니다. 비밀 ID의 2/3가 만료되면 비밀 ID를 변경할 수 있습니다.
만약 HashiCorp 비밀 ID 교체에 실패하면 다음 클라우드 또는 온프레미스 절차를 사용하여 비밀 ID를 수동으로 변경할 수 있습니다. :