Configuration de HashiCorp Vault
Vous pouvez configurer HashiCorp Vault en tant qu'intégration d'outils dans votre chaîne d'outils pour accéder et faire référence à des secrets stockés de manière sécurisée dans un serveur Vault HashiCorp.
Avant de configurer l'intégration d'outils Vault HashiCorp pour votre chaîne d'outils, vous avez besoin de la méthode d'authentification et des données d'identification associées, ainsi que du droit d'accès au serveur Vault HashiCorp auquel vous
souhaitez vous connecter. Par exemple, si authentication_method a pour valeur github, vous devez connaître vos données d'identification token. Vous devez également connaître les valeurs de server url,
integration url et secrets path. Si le serveur HashiCorp Vault est lié à un port spécifique, incluez le numéro de port dans l'URL du serveur. Par exemple, https://192.168.0.100:8200.
L'intégration de l'outil HashiCorp Vault prend en charge uniquement les références de secrets par nom. Si vous souhaitez utiliser des références de secrets par CRN, vous devez utiliser une intégration d'outilsSecrets Manager.
Configurez HashiCorp Vault de manière à gérer de manière sécurisée des secrets tels que les clés d'API et les secrets qui font partie de votre chaîne d'outils ou de votre pipeline de distribution :
-
Si vous configurez cette intégration d'outils lorsque vous créez la chaîne d'outils et qu'une intégration d'outils HashiCorp Vault existe dans le modèle que vous configurez, cliquez sur l'onglet HashiCorp Vault. Vous pouvez également cliquer sur HashiCorp Vault dans la section Plus d'outils.
-
Si vous avez une chaîne d'outils et que vous y ajoutez cette intégration d'outils, à partir de la console IBM Cloud, cliquez sur l'
Menu > Automatisation de la plateforme > Chaînes d'outils. Sur la page Chaînes d'outils, cliquez sur la chaîne d'outils afin d'ouvrir sa page Vue d'ensemble. Vous pouvez également, depuis votre page de présentation de l'application, sur la carte Distribution
continue, cliquer sur Afficher la chaîne d'outils. Ensuite, cliquez sur Vue d'ensemble.a. Cliquez sur Ajouter un outil.
b. Dans la section Intégrations d'outils, cliquez sur HashiCorp Vault.
-
Entrez le nom que vous voulez afficher pour cette intégration d'outils sur la carte HashiCorp Vault de votre chaîne d'outils. Le nom du secret peut comporter les caractères
a-z,A-Zet0-9, ainsi que le caractère espace. Les autres caractères ne sont pas admis et empêchent la résolution du secret. Par exemple,my.secretest un nom incorrect maismy-secretest valide. -
Entrez l'URL du serveur HashiCorp Vault que vous voulez ouvrir lorsque vous cliquez sur la carte HashiCorp Vault depuis votre chaîne d'outils. Assurez-vous que cette URL est préfixée avec le protocole
httpouhttpset se termine par le numéro de port HashiCorp Vault ; par exemple :https://www.acme.com:8200. -
Entrez l'URL de l'intégration d'outil HashiCorp Vault. Cette valeur peut être n'importe quelle URL valide, telle qu'une URL spécifique à une organisation associée à la documentation ou à la console d'interface utilisateur Web du serveur HashiCorp Vault de votre organisation.
-
Entrez le chemin d'accès au secret sur le serveur HashiCorp Vault accessible lorsque vous utilisez la méthode d'authentification configurée et les données d'authentification associées. Cette valeur ne doit inclure que le chemin des secrets et ne peut pas comporter un nom de secret à la fin du chemin. Si vos données d'authentification contiennent le droit LIST approprié dans le chemin de secret spécifié, vous pouvez afficher la liste des secrets dans ce chemin.
-
Cliquez sur Créer une intégration.
-
Sur la page Présentation de la chaîne d'outils, sur la carte Outils tiers, cliquez sur HashiCorp Vault pour utiliser les composants Sélecteur de coffre-fort HashiCorp et Pusher pour sélectionner des secrets à utiliser au sein de votre chaîne d'outils ou de votre pipeline de livraison.
Configuration de HashiCorp Vault à l'aide de l'API
L'intégration d'outils HashiCorp Vault prend en charge les paramètres de configuration suivants que vous pouvez utiliser avec l'API HTTP Toolchain et les SDK lorsque vous créez, lisezet mettez à jour les intégrations d'outils.
Vous devez spécifier la propriété tool_type_id dans le corps de la demande avec la valeur hashicorpvault.
| Paramètre | Utilisation | Type | Argument Terraform | Description |
|---|---|---|---|---|
| méthode_authentification | requis, pouvant être mis à jour | Chaîne | méthode_authentification | La méthode d'authentification pour votre instance HashiCorp Vault. |
| dashboard_url | requis, pouvant être mis à jour | Chaîne | dashboard_url | URL du tableau de bord du serveur HashiCorp Vault pour cette intégration d'outils. Dans l'interface graphique, le navigateur accède à ce tableau de bord lorsque vous cliquez sur la carte d'intégration d'outil HashiCorp Vault. |
| valeur_par_défaut | facultatif, pouvant être mis à jour | Chaîne | valeur_par_défaut | Nom de secret par défaut utilisé si votre instance de coffre HashiCorp ne renvoie pas de liste de noms de secret. |
| nom | requis, pouvant être mis à jour | Chaîne | nom | Nom de cette intégration d'outils. Les références de secret incluent ce nom pour identifier le magasin de secrets dans lequel résident les secrets. Tous les outils de magasin de secrets qui sont intégrés dans une chaîne d'outils doivent avoir un nom unique pour permettre la résolution des secrets de fonctionner correctement. |
| mot de passe | facultatif, pouvant être mis à jour | Mot de passe | mot de passe | Mot de passe d'authentification pour votre instance HashiCorp Vault lorsque vous utilisez la méthode d'authentification userpass. Ce paramètre est ignoré pour les autres méthodes d'authentification. Vous pouvez utiliser une
référence de secret de chaîne d'outils pour ce paramètre. Pour plus d'informations sur l'utilisation des références secrètes, voir Protection de vos données sensibles dans Continuous Delivery. |
| chemin d'accès | requis, pouvant être mis à jour | Chaîne | chemin d'accès | Le chemin de montage où vos secrets sont stockés dans votre instance HashiCorp Vault. |
| id_rôle | facultatif, pouvant être mis à jour | Mot de passe | id_rôle | ID du rôle d'authentification pour votre instance HashiCorp Vault lorsque vous utilisez la méthode d'authentification approle. Ce paramètre est ignoré pour les autres méthodes d'authentification. Gérez role_id en tant que secret et ne partagez pas ce paramètre en texte en clair. Vous pouvez utiliser une référence de secret de chaîne d'outils pour ce paramètre. Pour plus d'informations sur les références secrètes, voir Protection de vos données sensibles dans Continuous Delivery. |
| filtre_secret | facultatif, pouvant être mis à jour | Chaîne | filtre_secret | Expression régulière permettant de filtrer la liste des noms de secret renvoyés par votre instance de coffre HashiCorp. |
| id_secret | facultatif, pouvant être mis à jour | Mot de passe | id_secret | ID secret d'authentification de votre instance HashiCorp Vault lorsque vous utilisez la méthode d'authentification approle. Ce paramètre est ignoré pour les autres méthodes d'authentification. Vous pouvez utiliser une référence
de secret de chaîne d'outils pour ce paramètre. Pour plus d'informations sur les références secrètes, voir Protection de vos données sensibles dans Continuous Delivery. |
| url_serveur | requis, pouvant être mis à jour | Chaîne | url_serveur | L'URL du serveur pour votre instance de HashiCorp Vault. |
| jeton | facultatif, pouvant être mis à jour | Mot de passe | jeton | Jeton d'authentification pour votre instance de coffre HashiCorp lorsque vous utilisez les méthodes d'authentification github et token. Ce paramètre est ignoré pour les autres méthodes d'authentification. Vous
pouvez utiliser une référence de secret de chaîne d'outils pour ce paramètre. Pour plus d'informations sur les références secrètes, voir Protection de vos données sensibles dans Continuous Delivery. |
| nom d'utilisateur | facultatif, pouvant être mis à jour | Chaîne | nom d'utilisateur | Nom d'utilisateur d'authentification pour votre instance HashiCorp Vault lorsque vous utilisez la méthode d'authentification userpass. Ce paramètre est ignoré pour les autres méthodes d'authentification. |
Plus d'informations sur HashiCorp Vault
Pour en savoir plus sur HashiCorp Vault, voir HashiCorp Vault.