Czym jest konto?
Konto to tożsamość, której VaultPAM używa w systemie docelowym. Konto to nie to samo, co poświadczenie, które je odblokowuje. VaultPAM utrzymuje to rozróżnienie w sposób jawny, dzięki czemu możesz rotować poświadczenia, stosować polityki i audytować użycie bez przebudowy całego modelu dostępu.
Konto a poświadczenie
- Konto: tożsamość logowania w systemie docelowym, taka jak
root,Administratorlub nazwane konto usługowe. - Poświadczenie: hasło lub klucz, który potwierdza własność tego konta.
To rozdzielenie pozwala zachować stabilność konta przy jednoczesnej zmianie sekretu, który się pod nim kryje.
Poświadczenia statyczne i just-in-time
Niektóre sejfy używają hasła statycznego, które istnieje przez dłuższy czas. Inne korzystają z poświadczeń just-in-time opartych na OpenBao. W modelu JIT VaultPAM żąda sekretu w momencie rozpoczęcia sesji i wstrzykuje go na poziomie proxy. Sekret nigdy nie musi być kopiowany do zarządzanego przez użytkownika schowka.
Jak VaultPAM dostarcza poświadczenie
VaultPAM wiąże konto z sejfem. Gdy członek uruchamia sesję, konektor i proxy obsługują przekazanie poświadczenia. Użytkownik widzi sesję, a nie hasło. Jeśli polityka sejfu blokuje dostęp do schowka, poświadczenie pozostaje całkowicie niewidoczne dla użytkownika.
Ten model zmniejsza ryzyko wycieku sekretów i upraszcza offboarding. Dostęp odbierasz, aktualizując członkostwo w sejfie lub zastępując powiązanie konta, a nie ścigając to samo hasło w kilkunastu systemach.