Przejdź do głównej zawartości

Dostęp do OpenBao

VaultPAM wykorzystuje OpenBao (otwartoźródłowy fork HashiCorp Vault) jako swój bazowy silnik sekretów. Ten artykuł wyjaśnia, czym jest OpenBao, w jaki sposób VaultPAM go używa oraz kiedy administratorzy wdrożeń lokalnych (on-premises) mogą potrzebować bezpośredniej interakcji z nim.

Czym jest OpenBao

OpenBao to otwartoźródłowa platforma do zarządzania sekretami. VaultPAM wykorzystuje ją do szyfrowania i przechowywania wszystkich poświadczeń uprzywilejowanych (haseł, kluczy SSH, tokenów API) w bezpiecznym, audytowalnym zapleczu.

W normalnej pracy nigdy nie wchodzisz w bezpośrednią interakcję z OpenBao. VaultPAM zapewnia abstrakcję na poziomie konsoli: sejfami i poświadczeniami zarządzasz przez interfejs użytkownika, a VaultPAM komunikuje się z OpenBao w Twoim imieniu.

Jak VaultPAM wykorzystuje OpenBao

  • Wdrożenia SaaS: OpenBao jest w całości zarządzany przez platformę VaultPAM. Nie masz do niego bezpośredniego dostępu.
  • Wdrożenia lokalne (on-premises): OpenBao działa jako część Twojego stosu wdrożeniowego. Jest automatycznie inicjalizowany i odpieczętowywany przez instalator VaultPAM. W normalnych okolicznościach nie musisz wchodzić z nim w bezpośrednią interakcję.

Kiedy wchodzisz w bezpośrednią interakcję z OpenBao

Administratorzy wdrożeń lokalnych mogą potrzebować bezpośredniego dostępu do OpenBao w zaawansowanych scenariuszach:

  • Odtwarzanie po awarii: jeśli control-plane VaultPAM ulegnie awarii i musisz pobrać surowe sekrety
  • Rotacja kluczy: rotacja klucza głównego (root) lub klucza transit OpenBao w ramach audytu bezpieczeństwa
  • Debugowanie: diagnozowanie problemu na warstwie poświadczeń pod nadzorem wsparcia VaultPAM

Przed uzyskaniem bezpośredniego dostępu do OpenBao skontaktuj się z support@vaultpam.com, aby potwierdzić procedurę i uniknąć utraty danych.

Bezpośredni dostęp do OpenBao omija rejestrowanie audytu VaultPAM

Każde działanie wykonane bezpośrednio na API OpenBao -- odczyt, zapis lub usunięcie sekretów -- omija ścieżkę audytu VaultPAM. Oznacza to, że takie działania nie są rejestrowane w dzienniku audytu VaultPAM i nie można ich przypisać do użytkownika VaultPAM.

Do dostępu uprzywilejowanego zawsze korzystaj z interfejsu VaultPAM. Bezpośredni dostęp do OpenBao zarezerwuj wyłącznie do awaryjnego odtwarzania.

Dane i kopie zapasowe OpenBao

Dane OpenBao są objęte standardową kopią zapasową VaultPAM. W przypadku SaaS odbywa się to automatycznie. W przypadku wdrożeń lokalnych kopia zapasowa PostgreSQL obejmuje zaplecze magazynu OpenBao. Szczegóły znajdziesz w sekcji Kopie zapasowe i odtwarzanie.

Powiązane artykuły