Die Benutzerplattform umfasst einen Schlüssel-/Secrets-Verwaltungsdienst. Er bietet die sichere Speicherung und Verwaltung von geheimen Daten wie Passwörter, Zertifikate, asymmetrische Schlüssel, etc. an.
Die Verwendung dieses Dienstes kann die allgemeine Sicherheit Ihrer Lösung in mehrfacher Hinsicht verbessern:
Man könnte meinen, dass das Speichern von Passwörtern auf der gleichen Plattform wie die Ressourcen selber, die die Passwörter verwenden, und die Anzeige im Klartext auf dem Bildschirm die Gesamtsicherheit gefährden, Dies ist jedoch in Wirklichkeit nicht der Fall. Bedenken Sie die Tatsache, dass jeder, der Zugriff auf das Konto hat, 100% Zugriff auf jede Ressource erhällt. Auch ohne Kenntnis des Instanz Passworts kann ein solcher Benutzer leicht das Instanz-Image herunterladen oder es in eine andere Instanz einbinden und trotzdem vollen Zugriff auf die Instanz-Daten erhalten. Das Speichern der Passwörter in der Plattform erhöht somit die Sicherheit der Instanzen selber sowie den Komfort in Umgang mit Passwörtern. Für einen sicheren Betrieb ist der Sicherheit des Zugriffs auf die Plattform jedoch essentiell (z.B. durch 2-Faktor-Authentifizierung).
Die Secrets werden in Containern gespeichert. Bevor Sie also ein Secrets oder Zertifikat erstellen, müssen Sie einen Container für dieses Dokument erstellen oder auswählen. ein Container kann mehrere Dokumente speichern.
Secrets können von verschiedenen Typen sein. Zurzeit unterstützt das Portal den Passphrase Secret-Typ, der sich für die Speicherung von Klartextdaten wie Passwörtern eignet. Das API-Backend unterstützt weitere Geheimnistypen, darunter:
Ein Secret kann ein optionales Verfallsdatum haben. Wenn es gesetzt ist, kann das Sicherheitsdokument nach dem Ablaufdatum nicht mehr abgerufen werden und wird später aus der Datenbank gelöscht. Wenn das Verfallsdatum nicht festgelegt ist, wird das Sicherheitsdokument gespeichert, bis es manuell gelöscht wird.
Wenn eine Linux-Instanz erstellt wird, wird typischerweise ein Passwort für einen Systembenutzer für diese Instanz generiert. Der Benutzer hat die Möglichkeit, dieses Passwort im Secret-Speicher zu speichern. Um dies zu tun, klicken Sie einfach auf die Schaltfläche Zu meinen Secrets hinzufügen , wenn der Benachrichtigungsbildschirm angezeigt wird.
Sie werden später die Möglichkeit haben, dieses Passwort zu sehen, entweder im entsprechenden Container namens Instance credentials, oder oben auf dem Konsolenmenü der Instanz, wenn Sie sich anmelden.
Sie können auch Ihre eigenen Passwörter in diesem Container speichern, zum Beispiel für Windows-Instanzen (wo Passwörter nicht automatisch generiert werden und manuell gesetzt werden müssen, wenn die Instanz initialisiert wird), für andere Benutzer (als jene die bei der Instanz-Erstellung angelegt wurden) Ihrer Linux-Instanzen, oder für den Fall, dass Sie sich entscheiden, das Kennwort für einen vorhandenen Benutzer später zu ändern.
Um das zu tun, folgen Sie einfach der gleichen Namenskonvention, die die Plattform für automatisch generierte Anmeldeinformationen verwendet, indem sie im Container Instance credentials und die Angabe des Namens für das Secret als {user}@{instance_id}, wobei user der Benutzername ist, für den das Passwort gespeichert ist (der Benutzername kann bei Bedarf ein "@"-Zeichen enthalten), und dieinstance_id die Ressourcen-ID der Instanz ist. Hier sind Beispiele für geeignete Namen für Secrets, die von der Plattform erkannt werden:
ubuntu@3f921da7-5c03-41ec-a37a-a7915aaeb020 Administrator@domain@3f921da7-5c03-41ec-a37a-a7915aaeb020
Beachten Sie, dass der Secrets-Verwaltungsdienst NICHT mit dem Anmeldeinformationsspeicher innerhalb der Instanz verknüpft ist. Das heißt, wenn Sie das Passwort innerhalb der Instanz ändern, wird das entsprechende Passwort nicht automatisch aktualisiert.