Saltar al contenido principal

Rotar una credencial

Las credenciales almacenadas en VaultPAM pueden rotarse manualmente o automáticamente. Después de la rotación, las sesiones activas existentes continúan con la credencial antigua hasta que finalicen; las nuevas sesiones reciben la nueva.

Rotación manual

  1. Abra Vault → Accounts (o abra el Safe y haga clic en el nombre de la credencial).
  2. Haga clic en Rotate now.
  3. Seleccione un método de rotación:
    • New random password — VaultPAM genera una y actualiza el destino (requiere un plugin de rotación configurado para el tipo de destino).
    • Upload new value — usted pega la nueva contraseña/clave; VaultPAM la cifra y almacena. El destino debe actualizarse fuera de banda.
  4. Haga clic en Confirm. Se emite un evento de auditoría.

Rotación automática

  1. En Vault → Accounts, abra la cuenta y cambie a Rotation policy.
  2. Establezca la cadencia (por ejemplo, cada 30 días) y el método de rotación.
  3. VaultPAM rotará según el programa. Se activan alertas si una rotación falla.

Rotación JIT (sin contraseña almacenada)

Para destinos que lo admitan (Linux SSH, Postgres, MySQL, etc.), habilite Just-in-Time credentials: VaultPAM solicita a OpenBao que genere una contraseña de corta duración al iniciar la sesión y la revoca al finalizar. No existe ninguna contraseña de larga duración.

Artículos relacionados