AWS 凭据检索场景
- Updated: 2025/02/17
您可以检索以下这些场景的 AWS 凭据:引导、系统、自动登录和自动化。
检索 Control Room 引导凭据
Automation 360 Control Room 使用引导凭据访问支持服务,例如数据库、服务账户和 Active Directory (AD)。 在初始 On-Premises 安装期间或安装后(使用密钥保管库实用工具),通过指定对象名称配置这些凭据。
以下图像显示了使用 AWS 检索 Control Room 引导凭据的过程:
在启动序列或正常操作期间(例如刷新服务身份验证)需要时,Control Room 使用密钥库连接来检索凭据并执行所需的身份验证。
检索Control Room系统凭据
如果您在初始安装期间配置了外部密钥保管库,则可以使用 Automation 360 用户界面(安装后)配置 SMTP 和 Active Directory (AD) 凭据。
- 以管理员身份登录 Automation 360 Control Room。
- 从Control Room导航到: 。
- 您可以从外部密钥库映射AD主账户凭据,配置外部凭据,或设置为手动(切换AD主账户凭据检索模式)。
检索自动登录凭据
自动登录凭据用于验证到 Automation 360 Bot Agent 设备的身份,并启动一个活动的 Windows 会话。 机器人流程自动化 (RPA) 需要一个活动的 Windows 会话才能运行。 当从远程 Bot Agent 设备启动自动化时,自动登录会在自动化运行之前发生。
以下图像显示了使用 AWS 检索自动登录凭据的过程:
Control Room 管理员可以通过指定以下详细信息,在 Bot Agent 设备上手动启动或安排作业以启动自动化:
- 自动化 (机器人) 名称
- 设备名称
- 用户上下文
系统使用与用户上下文关联的用户名和密码自动登录到指定设备,然后在设备上运行自动化程序。
对于每个将从外部密钥保管库中检索自动登录凭据的 Control Room 用户,您必须为其设置一个密钥,并且 AWS Secrets Manager 中的密钥名称必须匹配 Control Room 用户名。
要配置从外部密钥库检索自动登录凭据,请执行以下步骤:
- 以管理员身份登录 Automation 360 Control Room。
- 从 Control Room,导航到 。
- 单击编辑。
- 如果您之前将 AWS Secrets Manager 配置为外部密钥保管库连接,请单击启用以从该外部密钥保管库检索自动登录凭据。
如果此选项被禁用,则外部密钥库连接未配置。
注: 如果您禁用来自外部密钥库的自动登录,则凭据将使用 AAI Credential Vault 及其存储的凭据来检索。 - AWS Secrets Manager 具有一个扁平命名空间,没有任何组织容器,因此您不需要输入保险库名称。 单击保存更改。
如果成功,将显示自动登录设置已成功保存的消息。
自动登录命名约定
Control Room 根据外部密钥库中的对象命名约定检索自动登录凭据。 Control Room 会搜索一个对象,其中对象名称(外部密钥库中的凭据名称)与其执行自动登录的 Control Room 用户名匹配。
前缀 autologin_ 是所有外部密钥保管库自动登录凭据命名约定的一部分: CyberArk、AWS 和 Azure。 外部密钥库中自动登录凭据的名称必须包含 autologin_,后接 Control Room 用户名。 在某些情况下,某些密钥保管库对凭据对象名称中可使用的字符有限制。 此外,为了支持不同场景对凭据的编码方式,Automation 360 要求保留或编码某些字符。
以下表格列出了 Control Room 中预期的对象命名约定示例:
| Control Room 用户名 | 预期对象名称格式 |
|---|---|
| ABCD\用户123 | autologin_ABCD--user123 |
| user123@rpa.abcd.com | 自动登录_用户123-40-rpa-2e-abcd-2e-com |
对于自动登录凭据,请记住以下几点:
- 外部密钥保管库中的对象名称必须包含前缀 autologin_。
- 自动登录凭据名称必须映射到要检索凭据的 Control Room 用户名(登录 ID)。
某些外部密钥保管库对某些字符的使用有限制,例如在密钥名称(对象名称)中限制使用反斜杠 (\) 和符号 (@),以及对 API 调用中如何解释特殊字符的限制。 如果用户 ID 包含特殊字符,则必须使用 ASCII 代码字符替换在外部密钥保管库中对密钥名称(对象名称)进行编码,如下表所示。
| 此字符 | 对该 ASCII 代码字符替换的更改 |
|---|---|
| \(反斜杠) | -- |
| - (破折号) | -2天- |
| _(下划线) | -5f- |
| @(与号) | -40- |
| .(句号) | -2e- |
AWS 自动登录凭据示例
对于此自动登录凭据检索示例,请考虑一个想要以特定用户身份在设备上部署机器人的Control Room用户。 此示例使用以下详细信息:
- 自动化 (机器人) 名称在设备上运行 = ProcureToPayGeoEast
- 坐席设备名称 = WinVDI1138
- 坐席用户上下文 = rpauserCR1@abcd.com
以下图像展示了使用 AWS 检索自动登录凭据的示例:
在启动自动化之前,请确保以下事项:
- Control Room 连接详细信息已成功配置,Control Room 使用这些连接详细信息连接到 AWS 并执行身份验证。
-
Control Room 查询设备 WinVDI1138 上运行的 Bot Agent 设备,以检查设备 WinVDI1138 上当前是否有活动的 Windows(操作系统)会话,并且该会话是否属于坐席用户 rpauserCR1。
如果用户 rpauserCR1 设备上存在现有会话,则无需执行自动登录,机器人 将继续进行部署。
- 但是,如果没有活动会话,或者有一个不属于 rpauserCR1 的活动会话,Control Room 将从 AWS Secrets Manager 中检索自动登录凭据。
- Control Room 将凭据(用户名和密码)传递给 Bot Agent。 Bot Agent 使用 rpauserCR1 的自动登录凭据在设备 WinVDI1138 上以 rpauserCR1 的身份执行 Windows 登录(首先注销任何其他用户登录会话)。 自动化(机器人) ProcureToPayGeoEast 然后以 rpauserCR1 的身份在设备 WinVDI1138 上开始运行。
检索自动化凭据
自动化凭据是由 机器人 开发人员在自动化 (机器人) 操作中使用的变量,用于定义和从加密存储中检索数据。 自动化使用凭据对应用程序进行身份验证(例如:财务应用程序)。 在运行时,自动化凭据由Automation 360 Bot Agent检索。
以下图像显示了使用 AWS 检索自动化凭据的过程:
从 AWS Secrets Manager 检索到的自动化凭据映射在 Automation Anywhere Credential Vault 中。 Credential Vault支持这两种类型的自动化凭据:
- 系统凭据
- 凭据是指凭据变量返回的值对于使用该变量的任何自动化都是相同的。
- 用户定义的凭证
- 凭据,其中凭据变量返回的值根据自动化运行的用户上下文而有所不同。
对于系统凭证和用户定义的凭证,机器人 开发人员在 机器人 代码中指定相同的凭证变量。 然后,系统确定在 机器人 运行时要检索哪个凭证。
用户定义的凭据通过使机器人开发人员能够使用单个凭据变量编写代码来简化自动化开发,其中 RPA 平台在运行时将返回的值替换为唯一的用户特定值。 开发人员可以避免编写带有不同用户特定凭证变量的重复代码。
以下图像显示了 AWS 凭据的预期命名约定:
该图显示了 AWS Secrets Manager 中的六个密钥,这些密钥可以映射到 Control Room Credential Vault 中的两个凭据。
- Object3
- Object4
例如,您可以将 Control Room 中的 存储柜 映射到 prefixID3 或 prefixID4。 然后,您将密钥映射到凭据。 对于每个凭据,密钥将作为系统定义的凭据(没有用户名后缀)和两个用户定义的凭据(分别为用户名为 User1ID1 和 User1ID2 的Control Room 用户)使用(由Control Room检索)。
在 AWS Secrets Manager 中,每个自动化凭据都以包含特定标识符的名称存储,这些标识符包括:前缀、对象标识符,以及用于标识用户名的可选后缀。 这是一个必需遵循的命名约定,以确保检索到正确的凭据。 AWS Secrets Manager 中密钥(凭据)的名称编码了有关 Automation Anywhere Credential Vault 内映射的信息。
作为管理员,要将 Control Room 映射到 AWS Secrets Manager,您需要在 Automation 360 Control Room 中使用 创建存储柜 和 创建凭据 功能中的外部密钥保管库选项,创建和配置 存储柜 和凭据。
- 您在映射到 AWS 密钥名称前缀的 Credential Vault 中配置 存储柜。
- 您在映射到 AWS 密钥对象标识符(用户定义凭据的可选后缀)的 Credential Vault 中配置凭据。
在运行时期间,RPA 平台将检索带有与自动化所运行用户上下文(用户定义的凭据)相匹配的后缀的密钥。 如果没有用户定义的凭据,RPA 平台将检索没有用户名后缀的密钥(系统凭据)。
Control Room 通过角色内的权限对外部凭据实施访问控制。 通过将不同的 Control Room 用户分配到不同的角色,然后将不同的 存储柜 与这些角色关联来控制凭据的访问。
以下图像显示了映射到 AWS 密钥的 Control Room Credential Vault 存储柜 和凭据:
自动化命名约定
下表展示了使用命名约定进行自动化的 AWS Secrets Manager 外部密钥保管库示例。
| 自动化凭据示例 | AWS 前缀 | AWS 密钥正文 | AWS 中的密钥 | Control Room 用户名 |
|---|---|---|---|---|
|
accounting_pdf 存储柜中的系统凭据映射到 AWS 密钥名称前缀会计 |
会计 | accounting_pdf(系统) | 无 - 系统凭据 | |
|
accounting_pdf_ABCD--user123 存储柜中的用户定义凭据映射到 AWS 密钥名称前缀会计 |
会计 | accounting_pdf_ABCD--user123 | ABCD\用户123 |
AWS 自动化凭据检索示例
要配置自动化凭据检索并与 AWS Secrets Manager 集成,您首先需要创建一个 存储柜,然后创建凭据。
- 在 Control Room 中创建单独的 存储柜,以存储在 Control Room 凭据保管库中创建的凭据。
- 在 Control Room 中创建单独的 存储柜,以存储在外部密钥库中创建的凭据。
Control Room 不支持在同一个 存储柜 中存储来自 Control Room 凭据保管库和外部密钥保管库的凭据。
要创建一个与 AWS Secrets Manager 集成的 存储柜,请执行以下步骤:
- 从Automation 360
Control Room,导航到。
具有管理我的凭据和存储柜 权限的用户被授权创建凭据。
- 在凭据选项卡中,选择创建存储柜。
- 输入 存储柜 的名称(例如,Locker3)。
此名称是 Control Room 的本地名称,与 AWS 密钥名称没有任何依赖关系。
- 单击外部密钥保管库并输入 AWS 密钥名称前缀(例如:prefixID3)。 您必须使用名称前缀对 AWS Secrets Manager 中的密钥进行命名,以成功完成映射配置。
- 单击下一步。
- 为存储柜配置所有者、管理者、参与者和消费者。
- 单击创建存储柜。
请参阅 创建存储柜。
现在,Control Room 已准备就绪,可以对所有前缀为 prefixID3 的 Azure 密钥检索凭据并执行访问控制。 若要继续,您现在需要创建凭证。
要创建凭据以与 AWS Secrets Manager 集成,请执行以下步骤:
- 从Automation 360
Control Room,导航到。
具有管理我的凭据和存储柜 权限的用户被授权创建凭据。
- 在凭据选项卡中,选择创建凭据。
- 在凭证名称字段中输入凭证名称。
此名称是 Control Room 的本地名称,与 AWS 密钥名称没有任何依赖关系。
- 单击名称字段下方的外部密钥库。
- 从可用的 存储柜 列表中,选择之前映射到您现在想要映射到凭据的密钥名称前缀的相应 存储柜。
- 在密钥名称字段中输入 AWS Secret_Name_Body(例如: Object3)。
- 单击验证并检索属性。
系统通过尝试从 AWS Secrets Manager 检索一个名为 Prefix_Secret_Name_Body 的密钥(例如:prefixID3_Object3)来验证映射。
如果验证失败,AWS Secrets Manager 中将不存在名称与 存储柜(前缀)和凭据 (Secret_Name_Body) 组合相匹配的密钥。 在本例中,AWS Secrets Manager 中没有名为 prefixID3_Object3 的密钥。
当系统成功检索到密钥时,将显示 AWS Secrets Manager 密钥属性(密钥中的字段)。
- 从属性列表中选择要映射到凭证的属性。
- 单击创建凭证。
如果成功,将会显示凭据成功创建的消息。