cyberark.conjur-host-identity

Przegląd Wersje Wgląd

Rola Ansible Conjur

Ta rola Ansible umożliwia nadawanie tożsamości maszynie Conjur dla hosta. Po utworzeniu tożsamości dla hosta za pomocą tej roli, sekrety mogą być bezpiecznie pobierane przy użyciu narzędzia Summon.

Polecane lektury

  • Aby dowiedzieć się więcej o Conjur, wypróbuj to.
  • Aby dowiedzieć się, jak zintegrować Conjur z Ansible, odwiedź Dokumentację integracji.
  • Aby dowiedzieć się więcej o Summon, narzędziu, które pozwala na eksportowanie wartości sekretnych pobranych z Conjur do Twoich aplikacji, odwiedź Stronę Summon.
  • Aby dowiedzieć się o innych sposobach integracji z Conjur, zapoznaj się z dokumentacją Conjur.

Wymagania

  • Conjur v1+ lub Conjur Enterprise (dawniej DAP) v10+
  • Conjur Enterprise v4
  • Ansible v2.8

Jeśli używasz Ansible v2.9+, rozważ użycie naszej Kolekcji Ansible.

Używanie ansible-conjur-host-identity z Conjur Open Source

Czy używasz tego projektu z Conjur Open Source? W takim razie zdecydowanie zalecamy wybór wersji projektu z najnowszego wydania zestawu Conjur OSS. Utrzymujący Conjur przeprowadzają dodatkowe testy na wersjach wydań zestawu, aby zapewnić zgodność. Gdy to możliwe, zaktualizuj swoją wersję Conjur, aby pasowała do najnowszego wydania zestawu; przy użyciu integracji wybierz najnowsze wydanie zestawu, które pasuje do Twojej wersji Conjur. W przypadku pytań skontaktuj się z nami na Discourse.

Instrukcje użytkowania

Zainstaluj rolę Conjur, używając następującego polecenia w katalogu swojego playbooka:

$ ansible-galaxy install cyberark.conjur-host-identity

Rola Conjur zapewnia sposób na „Conjurizowanie” lub ustanowienie tożsamości Conjur dla zdalnego węzła za pomocą Ansible. Węzeł ten może następnie uzyskać dostęp do sekretnych danych w sposób bezpieczny.

Zmienne roli

  • conjur_appliance_url *: URL instancji Conjur / Conjur Enterprise, z którą się łączysz. Przy łączeniu się z klastrem HA Conjur Enterprise, będzie to URL głównego load balancera.
  • conjur_account *: Nazwa konta dla instancji Conjur, z którą się łączysz.
  • conjur_host_factory_token *: Token Zarządzania hostami do rejestracji warstwy. Powinien być on określony w środowisku na hoście kontrolującym Ansible.
  • conjur_host_name *: Nazwa tożsamości hosta, którą ma stworzyć fabryka hostów.
  • conjur_ssl_certificate: PEK-encoded x509 CA certyfikat łańcucha dla instancji Conjur Enterprise, z którą się łączysz. Możesz uzyskać tę wartość, uruchamiając polecenie:
    $ openssl s_client -showcerts -servername [CONJUR_DNS_NAME] -connect [CONJUR_DNS_NAME]:443 < /dev/null 2> /dev/null
  • conjur_validate_certs: Wartość logiczna, która wskazuje, czy klient powinien weryfikować certyfikaty serwera Conjur.
  • summon.version: Wersja Summon do zainstalowania. Domyślnie 0.8.3.
  • summon_conjur.version: Wersja dostawcy Summon-Conjur do zainstalowania. Domyślnie 0.5.3.

Zmienne oznaczone * są wymagane. Pozostałe zmienne są wymagane do działania z końcówką HTTPS Conjur, ale nie są wymagane w przypadku użycia końcówki HTTP Conjur.

Przykładowy Playbook

Skonfiguruj zdalny węzeł z tożsamością Conjur i Summon:

- hosts: servers
  roles:
    - role: cyberark.conjur-host-identity
      conjur_appliance_url: 'https://conjur.myorg.com/api',
      conjur_account: 'myorg',
      conjur_host_factory_token: "{{lookup('env', 'HFTOKEN')}}",
      conjur_host_name: "{{inventory_hostname}}"

Ten przykład:

  • Rejestruje hosta w Conjur, dodając go do warstwy specyficznej dla podanego tokenu fabryki hostów.
  • Instaluje Summon z dostawcą Summon-Conjur do pobierania sekretów z Conjur.

Summon i Menedżery Usług

Po zainstalowaniu Summon, używanie Conjur z Menedżerem Usług (takim jak SystemD) staje się proste. Oto prosty przykład pliku SystemD łączącego się z Conjur:

[Unit]
Description=DemoApp
After=network-online.target

[Service]
User=DemoUser
#Environment=CONJUR_MAJOR_VERSION=4
ExecStart=/usr/local/bin/summon --yaml 'DB_PASSWORD: !var staging/demoapp/database/password' /usr/local/bin/myapp

Powyższy przykład używa Summon do pobrania hasła przechowywanego w staging/myapp/database/password, ustawia je jako zmienną środowiskową DB_PASSWORD i przekazuje do procesu aplikacji demo. Dzięki użyciu Summon, sekret nie jest zapisywany na dysku. Jeśli usługa zostanie ponownie uruchomiona, Summon ponownie pobiera hasło, gdy aplikacja jest uruchamiana.

Zależności

Brak

Rekomendacje

  • Ważne: Dodaj no_log: true do każdego play, który używa wrażliwych danych, w przeciwnym razie te dane mogą być wydrukowane w logach.
  • Ustaw pliki Ansible na minimalne uprawnienia. Ansible korzysta z uprawnień użytkownika, który go uruchamia.

Współpraca

Zachęcamy do wszelkich rodzajów wkładu w ten repozytorium. Aby uzyskać instrukcje dotyczące rozpoczęcia pracy i opisy naszych procesów deweloperskich, zobacz nasz przewodnik dotyczący współpracy.

Licencja

Copyright (c) 2020 CyberArk Software Ltd. Wszelkie prawa zastrzeżone.

To repozytorium jest licencjonowane na podstawie Licencji Apache 2.0 - zobacz LICENSE po więcej szczegółów.

O projekcie

Grants Conjur machine identity to hosts

role conjur cyberark identity security
Zainstaluj
ansible-galaxy install cyberark.conjur-host-identity
GitHub repozytorium
8 gwiazdki
3 forki
7 otwarte zgłoszenia
Licencja
apache-2.0
Pobrania
32.5k
Właściciel
CyberArk
CyberArk, the undisputed leader in Privileged Account Security, secures secrets used by machines and users to protect traditional and cloud-native apps.