Configuration de HashiCorp Vault
Continuous Delivery sera supprimée dans les régions suivantes le 12 février 2027 : au-syd, ca-mon, ca-tor, us-east. Code Risk Analyzer et DevOps Insights seront également supprimés dans toutes les régions à cette date. Toutefois, si une région n'a pas d'utilisation active de ces fonctionnalités, celles-ci peuvent être supprimées plus tôt et ne plus accepter de nouvelles instances. En savoir plus
Vous pouvez configurer HashiCorp Vault en tant qu'intégration d'outils dans votre chaîne d'outils pour accéder et faire référence à des secrets stockés de manière sécurisée dans un serveur Vault HashiCorp.
Avant de configurer l'intégration d'outils Vault HashiCorp pour votre chaîne d'outils, vous avez besoin de la méthode d'authentification et des données d'identification associées, ainsi que du droit d'accès au serveur Vault HashiCorp auquel vous
souhaitez vous connecter. Par exemple, si authentication_method a pour valeur github, vous devez connaître vos données d'identification token. Vous devez également connaître les valeurs de server url,
integration url et secrets path. Si le serveur HashiCorp Vault est lié à un port spécifique, incluez le numéro de port dans l'URL du serveur. Par exemple, https://192.168.0.100:8200.
L'intégration de l'outil HashiCorp Vault ne prend en charge que les références de secrets par nom. Si vous souhaitez utiliser les références secrètes par CRN, vous devez utiliser un Secrets Manager outil d'intégration.
Configurez HashiCorp Vault de manière à gérer de manière sécurisée des secrets tels que les clés d'API et les secrets qui font partie de votre chaîne d'outils ou de votre pipeline de distribution :
-
Si vous configurez cette intégration d'outils lorsque vous créez la chaîne d'outils et qu'une intégration d'outils HashiCorp Vault existe dans le modèle que vous configurez, cliquez sur l'onglet HashiCorp Vault. Vous pouvez également cliquer sur HashiCorp Vault dans la section Plus d'outils.
-
Si vous avez une chaîne d'outils et que vous y ajoutez cette intégration d'outils, à partir de la console IBM Cloud, cliquez sur l'
Menu > Platform Automation > Toolchains. Sur la page Chaînes d'outils, cliquez sur la chaîne d'outils afin d'ouvrir sa page Vue d'ensemble.a. Cliquez sur Ajouter un outil.
b. Dans la section Intégrations d'outils, cliquez sur HashiCorp Vault.
-
Entrez le nom que vous voulez afficher pour cette intégration d'outils sur la carte HashiCorp Vault de votre chaîne d'outils. Le nom du secret peut comporter les caractères
a-z,A-Zet0-9, ainsi que le caractère espace. Les autres caractères ne sont pas admis et empêchent la résolution du secret. Par exemple,my.secretest un nom incorrect maismy-secretest valide. -
Entrez l'URL du serveur HashiCorp Vault que vous voulez ouvrir lorsque vous cliquez sur la carte HashiCorp Vault depuis votre chaîne d'outils. Assurez-vous que cette URL est préfixée avec le protocole
httpouhttpset se termine par le numéro de port HashiCorp Vault ; par exemple :https://www.acme.com:8200. -
Entrez l'URL de l'intégration d'outil HashiCorp Vault. Cette valeur peut être n'importe quelle URL valide, telle qu'une URL spécifique à une organisation associée à la documentation ou à la console d'interface utilisateur Web du serveur HashiCorp Vault de votre organisation.
-
Entrez le chemin d'accès au secret sur le serveur HashiCorp Vault accessible lorsque vous utilisez la méthode d'authentification configurée et les données d'authentification associées. Cette valeur ne doit inclure que le chemin des secrets et ne peut pas comporter un nom de secret à la fin du chemin. Si vos données d'authentification contiennent le droit LIST approprié dans le chemin de secret spécifié, vous pouvez afficher la liste des secrets dans ce chemin.
-
Cliquez sur Créer une intégration.
-
Sur la page Présentation de la chaîne d'outils, sur la carte Outils tiers, cliquez sur HashiCorp Vault pour utiliser les composants Sélecteur de coffre-fort HashiCorp et Pusher pour sélectionner des secrets à utiliser au sein de votre chaîne d'outils ou de votre pipeline de livraison.
Configuration de HashiCorp Vault à l'aide de l'API
L'intégration d'outils HashiCorp Vault prend en charge les paramètres de configuration suivants que vous pouvez utiliser avec l'API et les SDK de la chaîne d'outils HTTP lorsque vous créez, lisez et mettez à jour des intégrations d'outils.
Vous devez spécifier la propriété tool_type_id dans le corps de la demande avec la valeur hashicorpvault.
| Paramètre | Utilisation | Type | Argument Terraform | Description |
|---|---|---|---|---|
| méthode_authentification | requis, pouvant être mis à jour | Chaîne | méthode_authentification | La méthode d'authentification pour votre instance HashiCorp Vault. |
| dashboard_url | requis, pouvant être mis à jour | Chaîne | dashboard_url | Le site URL du tableau de bord du serveur HashiCorp Vault pour l'intégration de cet outil. Dans l'interface graphique, le navigateur accède à ce tableau de bord lorsque vous cliquez sur la carte d'intégration de l'outil HashiCorp Vault. |
| valeur_par_défaut | facultatif, pouvant être mis à jour | Chaîne | valeur_par_défaut | Le nom de secret par défaut qui est utilisé si votre instance HashiCorp Vault ne renvoie pas de liste de noms de secrets. |
| nom | requis, pouvant être mis à jour | Chaîne | nom | Nom de cette intégration d'outils. Les références de secret incluent ce nom pour identifier le magasin de secrets dans lequel résident les secrets. Tous les outils de magasin de secrets qui sont intégrés dans une chaîne d'outils doivent avoir un nom unique pour permettre la résolution des secrets de fonctionner correctement. |
| mot de passe | facultatif, pouvant être mis à jour | Mot de passe | mot de passe | Le mot de passe d'authentification pour votre instance HashiCorp Vault lorsque vous utilisez la méthode d'authentification userpass. Ce paramètre est ignoré pour les autres méthodes d'authentification. Vous pouvez utiliser
une référence de secret de chaîne d'outils pour ce paramètre. Pour plus d'informations sur l'utilisation des références secrètes, voir Protection de vos données sensibles dans Continuous Delivery. |
| chemin d'accès | requis, pouvant être mis à jour | Chaîne | chemin d'accès | Le chemin de montage où vos secrets sont stockés dans votre instance HashiCorp Vault. |
| id_rôle | facultatif, pouvant être mis à jour | Mot de passe | id_rôle | L'ID du rôle d'authentification pour votre instance HashiCorp Vault lorsque vous utilisez la méthode d'authentification approle. Ce paramètre est ignoré pour les autres méthodes d'authentification. Gérez role_id en tant que secret et ne partagez pas ce paramètre en texte en clair. Vous pouvez utiliser une référence de secret de chaîne d'outils pour ce paramètre. Pour plus d'informations sur les références secrètes, voir Protection de vos données sensibles dans Continuous Delivery. |
| filtre_secret | facultatif, pouvant être mis à jour | Chaîne | filtre_secret | Une expression régulière pour filtrer la liste des noms de secrets renvoyés par votre instance HashiCorp Vault. |
| id_secret | facultatif, pouvant être mis à jour | Mot de passe | id_secret | L'ID du secret d'authentification pour votre instance HashiCorp Vault lorsque vous utilisez la méthode d'authentification approle. Ce paramètre est ignoré pour les autres méthodes d'authentification. Vous pouvez utiliser une
référence de secret de chaîne d'outils pour ce paramètre. Pour plus d'informations sur les références secrètes, voir Protection de vos données sensibles dans Continuous Delivery. |
| url_serveur | requis, pouvant être mis à jour | Chaîne | url_serveur | Le serveur URL pour votre instance HashiCorp Vault. |
| jeton | facultatif, pouvant être mis à jour | Mot de passe | jeton | Le jeton d'authentification pour votre instance HashiCorp Vault lorsque vous utilisez les méthodes d'authentification github et token. Ce paramètre est ignoré pour les autres méthodes d'authentification. Vous
pouvez utiliser une référence de secret de chaîne d'outils pour ce paramètre. Pour plus d'informations sur les références secrètes, voir Protection de vos données sensibles dans Continuous Delivery. |
| username (nom d'utilisateur) | facultatif, pouvant être mis à jour | Chaîne | username (nom d'utilisateur) | Le nom d'utilisateur d'authentification pour votre instance HashiCorp Vault lorsque vous utilisez la méthode d'authentification userpass. Ce paramètre est ignoré pour les autres méthodes d'authentification. |
Plus d'informations sur HashiCorp Vault
Pour en savoir plus sur HashiCorp Vault, voir HashiCorp Vault.