Configurando o Secrets Manager

Identificando segredos por nome

Ao configurar a integração de ferramenta do Secrets Manager para identificar segredos por nome, sua cadeia de ferramentas pode acessar os tipos de segredo a seguir:

• Identity and Access Management (IAM).
• Segredos arbitrários que são armazenados no Secrets Manager.
• Segredos de valor da chave

Atualmente, as referências a segredos por nome não são capazes de resolver um segredo que inclua o caractere de ponto final no nome do segredo porque esse caractere é usado para delimitar cada seção do caminho canônico.

Para obter mais informações sobre segredos de credenciais do IAM, segredos arbitrários e segredos de valor de chave no Secrets Manager, consulte Trabalhando com segredos de diferentes tipos.

Configure o Secrets Manager para gerenciar de forma segura os segredos que fazem parte da sua cadeia de ferramentas:

1. Se você estiver configurando essa integração de ferramenta durante a criação da cadeia de ferramentas, na seção Integrações configuráveis, clique em Secrets Manager. Se o Secrets Manager for definido como uma integração de ferramenta opcional, ele estará localizado em Mais ferramentas. Escolha identificar essa instância pelo nome da instância de serviço. Para criar uma autorização entre a cadeia de ferramentas e a instância de serviço Secrets Manager, selecione a opção Criar uma autorização para essa cadeia de ferramentas no menu suspenso Tipo de autorização. Isso concede à cadeia de ferramentas acesso ao material secreto armazenado na instância de serviço Secrets Manager.

2. Se você tiver uma cadeia de ferramentas e estiver adicionando essa integração de ferramentas a ela, no console IBM Cloud, clique no ícone Menu > Platform Automation > Toolchains. Na página Cadeias de ferramentas, clique na cadeia de ferramentas para abrir a sua página de Visão geral. Alternativamente, na página Visão geral do seu app, no cartão do Continuous Delivery, clique em Visualizar a cadeia de ferramentas. Em seguida, clique em Visão geral.

   a. Clique em Incluir ferramenta.

   b. Na seção Integrações de ferramentas, clique em Secrets Manager.

3. Especifique um nome para essa instância da integração de ferramenta do Secrets Manager para usar em sua cadeia de ferramentas. O nome que você especifica é usado nas ferramentas de IU que selecionam segredos do Secrets Manager. Ele também é usado como parte da referência que resolve os valores de segredo quando a cadeia de ferramentas é executada. Este nome de instância também é exibido no tile de integração da ferramenta do Secrets Manager na área de trabalho da cadeia de ferramentas.

4. Escolha identificar essa instância pelo nome da instância de serviço.

5. Revise os valores padrão para Região e Grupo de recursos e atualize-os, se necessário.

6. Selecione a instância do serviço Secrets Manager que você deseja usar.

7. Para criar uma autorização entre a cadeia de ferramentas e a instância de serviço Secrets Manager, clique no botão Criar autorização. Isso concede à cadeia de ferramentas acesso ao material secreto armazenado na instância de serviço Secrets Manager.

8. Clique em Criar integração.

Aplicando segredos

Depois que a sua integração de ferramentas do Secrets Manager estiver configurada, será possível usá-la para aplicar segredos em qualquer lugar que eles sejam requeridos pela cadeia de ferramentas. Esta integração de ferramentas e a caixa de diálogo de Secrets suportam os tipos secretos de Arbitrário e de credenciais do IAM.

Você pode usar segredos Arbitrários para armazenar qualquer valor secreto predefinido, ou para armazenar dinamicamente minado IBM Cloud chaves de API usando a caixa de diálogo Secrets. Você deve criar segredos de credenciais do IAM diretamente dentro de sua instância de serviço Secrets Manager. Depois de criar esses segredos, você pode selecionar segredos de credenciais do IAM para usá-los dentro da sua cadeia de ferramentas usando a caixa de diálogo Secrets em qualquer campo seguro. A caixa de diálogo Os segredos exibe tanto os tipos secretos de Arbitrários como os de credenciais do IAM, com o tipo secreto anexado ao nome secreto entre colchetes.

Usando segredos arbitrários armazenados no Secrets Manager

Deve-se salvar segredos de terceiros, como um webhook do Slack ou um token da API do Artifactory, no Secrets Manager antes de criar uma nova cadeia de ferramentas. Você pode cuntar e armazenar os segredos gerenciados da IBM, como IBM Cloud chaves de API em Secrets Manager, como tipos secretos arbitrários enquanto você trabalha com a sua cadeia de ferramentas usando o diálogo de Secrets. No entanto, você deve cuntar segredos de credenciais do IAM diretamente em Secrets Manager antes de poder selecionar esses tipos de segredos dentro de sua cadeia de ferramentas usando a caixa de diálogo Secrets.

O exemplo a seguir aplica um tipo de segredo arbitrário que é armazenado em Secrets Manager a uma chave API IBM Cloud que é necessária pelo Delivery Pipeline integração da ferramenta. É possível seguir as mesmas etapas para aplicar segredos a qualquer uma das integrações de ferramenta do Continuous Delivery que requerem valores de segredo.

1. Clique no ícone de chave para recuperar segredos de armazenamentos seguros, tais como o Secrets Manager para a chave de API da IBM Cloud.

2. No campo Provedor, especifique o provedor e o nome da integração de ferramenta do Secrets Manager usado para gerenciar os seus segredos da cadeia de ferramentas. Por exemplo, para usar a integração de ferramenta do Secrets Manager, selecione Secrets Manager: ibm-secrets-manager-1. É possível usar outros provedores para gerenciar seus segredos da cadeia de ferramentas, como o Hashicorp Vault e o Key Protect.

3. Selecione um grupo de segredos e um nome do segredo e clique em OK para aplicar o segredo armazenado ao campo associado a ele.

   

   O nome do segredo selecionado aparece em forma de cápsula. Não é possível editar o nome do segredo de maneira sequencial, mas é possível clicar em para excluir o nome. Você também pode substituir o nome secreto existente, selecionando o nome secreto novamente. Se você digitar manualmente ou colar um nome do segredo no campo Segredos, ele será exibido em um formato diferente:

   

   O formato em que o segredo é exibido indica se o valor faz referência a um segredo armazenado em um cofre de back-end ou a um segredo armazenado em sua cadeia de ferramentas. Ao usar referências a segredos que são gerenciados por provedores de segredo como o Secrets Manager, seus valores de segredo são centralizados e armazenados de forma segura em um único local. Esta abordagem resolve a expansão e a proliferação de segredos e significa que é possível atualizar os segredos sem atualizar a sua cadeia de ferramentas. Quando você usa referências de segredo, o valor de segredo real é resolvido quando a cadeia de ferramentas é executada, recuperando-a dinamicamente do Secrets Manager. Esta abordagem é útil quando deve-se girar o valor de seus segredos da cadeia de ferramentas periodicamente.

Como usar segredos de credenciais do IAM

O tipo secreto de credenciais do IAM é totalmente integrado ao IAM. Secrets Manager auto-gerencia IDs de serviços dinâmicos e chaves API que estão associados a um segredo de credenciais do IAM. Continuous Delivery e Secrets Manager APIs de serviços se engajam para resolver referências secretas IAM Credenciais secretas em Continuous Delivery toolchains e cargas de trabalho de pipeline.

Quando você criar um segredo de credenciais do IAM em Secrets Manager, certifique-se de marcar a caixa de seleção Reutilizar credenciais do IAM até que o contrato de concessão expire. Além disso, especifique uma duração de arrendamento com um mínimo de 12 horas quando você usa agentes do trabalhador público para executar seu pipeline. Se você utilizar agentes do trabalhador privado, certise-se de definir uma duração de arrendamento mínimo para a duração de cancelamento forçado para um pipeline. Recomenda-se confirmar essas configurações com o administrador da sua conta. Ao configurar a opção de reutilização e uma duração de locação apropriada, você pode certificar-se de que a chave API de ID do serviço de credenciais IAM gerenciada dinamicamente persistam durante o seu pipeline executado.

Ao executar a ação Rotate em credenciais do IAM a partir do painel Secrets Manager, você pode manter os requisitos de postura de conformidade para rotações de Chave API que são usadas por seus pipelines Continuous Delivery. Secrets Manager trabalha com o IAM para gerar uma nova Chave API para um segredo de credenciais do IAM e gerencia o versionamento do segredo.

O tipo secreto de credenciais do IAM também ajuda a proporcionar a continuidade do atendimento durante e após a rotação secreta:

• Novas cargas de trabalho do pipeline Continuous Delivery usam a API de API recém-rotada até que sua duração de arrendamento expire.
• As cargas de trabalho de pipeline Continuous Delivery que estão em execução com a Chave API que foi emitida antes da rotação podem continuar sendo executadas com a versão anterior até que a duração da locação da versão anterior expire.

secreta das credenciais de IAM*

Para obter mais informações sobre o tipo secreto de credenciais do IAM em Secrets Manager, veja Criando credenciais do IAM.

Usando segredos de valor de chave

É possível selecionar os segredos de valor da chave para usar em sua cadeia de ferramentas selecionando uma chave individual do segredo de valor da chave no diálogo Segredos. Como alternativa, você pode selecionar o segredo em sua totalidade.

1. Clique no ícone de chave para recuperar segredos de armazenamentos seguros, tais como o Secrets Manager para a chave de API da IBM Cloud.

2. No campo Provedor, especifique o provedor e o nome da integração de ferramenta do Secrets Manager usado para gerenciar os seus segredos da cadeia de ferramentas. Por exemplo, para usar a integração de ferramenta do Secrets Manager, selecione Secrets Manager: ibm-secrets-manager-1. É possível usar outros provedores para gerenciar seus segredos da cadeia de ferramentas, como o Hashicorp Vault e o Key Protect.

3. Selecione um grupo secreto e um nome secreto para aplicar o segredo armazenado ao campo que está associado a ele. Opcional: selecione uma chave secreta. Clique em OK. O nome do segredo selecionado aparece em forma de cápsula. Não é possível editar o nome secreto em linha, mas você pode clicar no para excluir o nome. Você também pode substituir o nome secreto existente, selecionando o nome secreto novamente. Se você digitar ou colar manualmente um nome de segredo no campo Segredos, ele será exibido em um formato diferente.

  sm-compliance-secrets:
    service_id: secretsmanager
    parameters:
      name: sm-compliance-secrets
      instance-id-type: instance-name
      region: us-south
      resource-group: default
      instance-name: ffs-secrets
      setup-authorization-type: create

Identificando segredos por CRN

Ao configurar a integração de ferramenta Secrets Manager para identificar segredos por CRN, sua cadeia de ferramentas pode acessar segredos de credenciais arbitrários, de valor de chave e do IAM que são armazenados no Secrets Manager. Para obter mais informações sobre os diferentes tipos de segredos no Secrets Manager, consulte Trabalhando com segredos de diferentes tipos É possível usar apenas segredos de valor de chave inteiros para segredos de CRN, não chaves individuais...

Configure o Secrets Manager para gerenciar de forma segura os segredos que fazem parte da sua cadeia de ferramentas:

1. Se você estiver configurando essa integração de ferramenta durante a criação da cadeia de ferramentas, na seção Integrações configuráveis, clique em Secrets Manager. Se o Secrets Manager for definido como uma integração de ferramenta opcional, ele estará localizado em Mais ferramentas. Escolha para identificar essa instância pelo CRN da instância de serviço Para criar uma autorização entre a cadeia de ferramentas e a instância de serviço Secrets Manager, selecione a opção Criar uma autorização para essa cadeia de ferramentas no menu suspenso Tipo de autorização. Isso concede à cadeia de ferramentas acesso ao material secreto armazenado na instância de serviço Secrets Manager.

2. Se você tiver uma cadeia de ferramentas e estiver adicionando essa integração de ferramentas a ela, no console IBM Cloud, clique no ícone Menu > Platform Automation > Toolchains. Na página Cadeias de ferramentas, clique na cadeia de ferramentas para abrir a sua página de Visão geral. Alternativamente, na página Visão geral do seu app, no cartão do Continuous Delivery, clique em Visualizar a cadeia de ferramentas. Em seguida, clique em Visão geral.

   a. Clique em Incluir ferramenta.

   b. Na seção Integrações de ferramentas, clique em Secrets Manager.

3. Especifique um nome para essa instância da integração de ferramenta do Secrets Manager para usar em sua cadeia de ferramentas.

4. Escolha para identificar essa instância pelo CRN da instância de serviço

5. Especifique o CRN da instância de serviço Secrets Manager na qual seus segredos são armazenados. Essa instância de serviço poderá existir em uma conta diferente se sua cadeia de ferramentas estiver autorizada a acessar segredos nessa conta.

6. Para criar uma autorização entre a cadeia de ferramentas e a instância de serviço Secrets Manager, clique no botão Criar autorização. Isso concede à cadeia de ferramentas acesso ao material secreto armazenado na instância de serviço Secrets Manager.

7. Clique em Criar integração.

Autorizando a sua cadeia de ferramentas a acessar segredos

As referências a segredos que estão armazenados no Secrets Manager são resolvidas dinamicamente quando a cadeia de ferramentas é executada. Para acessar os segredos necessários, deve-se autorizar a sua cadeia de ferramentas a acessar a instância do Secrets Manager. Se você estiver criando uma corrente de ferramentas a partir de um modelo, use o menu suspenso Tipo de autorização ao configurar a integração do Secrets Manager Se estiver incluindo uma integração do Secrets Manager em uma cadeia de ferramentas existente, use o botão Criar autorização.

Para visualizar as suas autorizações na IBM Cloud, conclua as etapas a seguir:

1. No console da IBM Cloud, clique em Gerenciar > Acesso (IAM).

2. Clique em Autorizações.

   Você também pode acessar suas autorizações na página Gerenciar autorizações.

   É possível criar a autorização manualmente, se necessário. Para resolver com sucesso as referências do segredo, sua instância da cadeia de ferramentas deve ter os acessos Viewer e SecretsReader à instância de serviço correta do Secrets Manager.

   Quando as integrações da ferramenta Secrets Manager que identificam segredos por CRN são configuradas para acessar segredos em uma conta diferente, é necessário criar a autorização na conta em que a instância do serviço Secrets Manager existe.

Configurando Secrets Manager ao usar a API

A integração da ferramenta Secrets Manager é compatível com os seguintes parâmetros de configuração que você pode usar com a API e os SDKs do Toolchain HTTP ao criar, ler e atualizar integrações de ferramentas.

Você deve especificar a propriedade tool_type_id no corpo da solicitação com o valor secretsmanager.

Saiba mais sobre o Secrets Manager

Para saber mais sobre Secrets Manager, veja Introdução ao Secrets Manager.