创建locker

创建locker来对类似凭据进行分组以与其他用户共享。

先决条件

您必须具有 AAE_Locker Admin 角色或管理我的凭据和存储柜权限,以及查看用户和角色的必要权限。
注:
  • 您必须具有查看用户和角色基本信息的权限,才能查看有关其他用户的信息,以将其添加为存储柜所有者/管理者/参与者。 若无此权限,将会出现“访问被拒绝”错误。

    请参阅 Credential Vault 凭据管理的 RBAC

  • 确保不要使用以 oauth_(不区分大小写,例如,OAuth_oAuth_ 等)开头的存储柜名称,因为它是一个保留的命名空间。
可以存储在 locker 中的凭据数量没有限制。 凭据只能属于一个 locker。 请参阅 创建凭据。 凭据进一步分为名为 lockers 的逻辑组。

过程

要创建 locker,请按照下列步骤操作:

  1. 导航到管理 > 凭据,然后单击存储柜选项卡。
  2. 单击创建存储柜
  3. 输入名称
  4. 可选: 输入描述。
  5. 选择要添加到 locker凭据,或选择外部密钥保管库
  6. 输入外部密钥保管库凭据。
    如果要与外部密钥保管库(例如 AWS、Azure、CyberArk 或 HashiCorp)集成,请输入指定外部存储柜所需的凭据:
    AWS
    输入存储柜中存储的密钥的前缀。
    CyberArk
    输入存储凭据存储柜的保险箱名称,并可选择输入设置为您的 CyberArk 用户名的属性$attribute$ 属性用于从 CyberArk 对象属性中检索信息。 您可以通过组合多个 CyberArk 对象属性来创建属性集。

    以下示例展示了如何在不同场景中创建属性集:

    • 如果您想使用格式为 domain\username 的用户名,其中域名存储在名为 Address 的 CyberArk 属性中,用户名存储在名为 UserName 的 CyberArk 属性中,那么请以格式 $Address$\$UserName$ 输入属性集到凭据属性中,并在您的 bot 自动化中使用此属性。
    • 如果您想使用格式为 username@example.com 的用户名,其中用户名存储在名为 UserName 的 CyberArk 属性中,地址 (example.com) 存储在名为 Address 的 CyberArk 属性中,则在凭据属性中以格式 $UserName$@$Address$ 输入属性集,并在您的 bot 自动化中使用此属性。
    Azure
    输入存储柜中存储的前缀。
    HashiCorp
    输入存储柜中存储的密钥的前缀。 例如,输入前缀 prfusr1 对于存储为 prfusr1_obj1_usr1 的秘密。
  7. 单击下一步
  8. 添加所有者
    locker 必须至少有一个所有者。 locker所有者可以编辑、查看和删除locker,还可以添加或删除其他所有者。
  9. 单击下一步
  10. 可选: 添加经理并单击下一步
    locker 经理可以查看、编辑和删除存储柜,并添加参与者,但不能将所有者或经理添加到 locker
  11. 可选: 添加与会者并单击下一步
    locker参与者有权查看locker并将自己的凭据添加到locker
    注: 存储柜参与者无权访问或查看其他用户创建的凭据。
  12. 添加使用者
    选择一个或多个角色。 具有这些角色的用户有权访问 locker。 系统创建的角色不会在使用者列表中显示。
    类型权限
    标准 存储柜使用者可以查看locker以及locker中的所有凭据。 所有使用者都会看到凭证所有者设置的相同凭证值。
    用户提供 存储柜使用者能够使用用户提供的属性在用户提供的凭证中输入其信息。
  13. 单击创建存储柜
如果启用了电子邮件通知设置,用户将收到一封电子邮件,确认 locker 名称及其对该 locker 的权限。