設定 HashiCorp Vault
Continuous Delivery 將於 2027 年 2 月 12 日在下列地區停用:烏-水, 鈣門, ca-tor, 美國東部。 Code Risk Analyzer 和 DevOps Insights 也將於該日在所有地區停用。 但是,如果某一區域沒有活躍使用這些功能,則該區域的功能可能會提早停止使用,並停止接受新的實體。 進一步瞭解
您可以將 HashiCorp Vault 設定為工具鏈中的工具整合,這樣您就可以存取和參照 HashiCorp Vault 伺服器中安全儲存的機密。
在為您的工具鏈設定 HashiCorp Vault 工具整合之前,您需要具備存取 HashiCorp Vault 伺服器權限的驗證方法和相關憑證,才能連線到 伺服器。 例如,如果 authentication_method 是 github,則您必須知道 token 認證。 您也需要知道 server url、integration url 和 secrets path 的值。 如果 HashiCorp Vault 伺服器綁定到特定連接埠,請在伺服器 URL 中包含連接埠號。 例如,https://192.168.0.100:8200。
HashiCorp Vault 工具整合只支援秘密名稱參考。 若要透過 CRN 使用機密參考,您必須使用 Secrets Manager 工具整合。
配置 HashiCorp Vault 以安全地管理 API 金鑰等機密,以及屬於工具鏈或遞送管道一部分的機密:
-
如果您在建立工具鏈時設定此工具整合,且在您設定的範本中存在 HashiCorp Vault 工具整合,請按一下 HashiCorp Vault 選項卡。 或者,在「更多工具」部分,按一下 HashiCorp Vault.
-
若您已擁有工具鏈並欲將此工具整合至其中,IBM Cloud 請從控制台點擊選單圖示 (
)> 平台自動化 > 工具鏈。 在工具鏈頁面中,按一下工具鏈以開啟其總覽頁面。a. 按一下新增工具。
b. 在「工具整合」部分,按一下 HashiCorp Vault.
-
在工具鏈中的 HashiCorp Vault 卡上輸入要顯示此工具整合的名稱。 密鑰名稱支援
a-z、A-Z和0-9範圍內的字元,以及空格字元。 不容許超出這些範圍的字元,並阻止解決密鑰。 例如,my.secret是無效的密鑰名稱,但my-secret是有效的。 -
當您從工具鏈中按下 HashiCorp Vault 卡時,請輸入要開啟的 HashiCorp Vault 伺服器的 URL。 請確定此 URL 以
http或https通訊協定為前綴,並以 HashiCorp Vault 連接埠號碼結束,例如https://www.acme.com:8200。 -
為 HashiCorp Vault 工具整合輸入 URL。 此值可以是任何有效的 URL,例如與組織 HashiCorp Vault 伺服器 Web UI 主控台或文件相關的特定組織 URL。
-
輸入 HashiCorp Vault 伺服器上秘密的路徑,當您使用已設定的驗證方法和相關驗證憑證時,可以存取該秘密。 此值必須只包含密鑰路徑,且不能在密鑰路徑結尾包含密鑰名稱。 如果您的鑑別認證在指定的密鑰路徑內包含相關 LIST 許可權,您可以檢視該路徑內的密鑰清單。
-
按一下建立整合。
-
在工具鏈總覽頁面的第三方工具卡片上,按一下 HashiCorp Vault 以使用 HashiCorp Vault Secrets Picker 和 Pusher 元件來選擇秘密,以便在您的工具鏈或遞送管道中使用。
使用 API 設定 HashiCorp Vault
HashiCorp Vault 工具整合支援下列組態參數,您可以在 建立、讀取和 更新工具整合時,使用工具 鏈 HTTP API 和 SDK。
您必須在要求內文中以 hashicorpvault 值指定 tool_type_id 內容。
| 參數 | 用法 | 類型 | Terraform 引數 | 說明 |
|---|---|---|---|---|
| 驗證方法 | 必要,可更新 | 字串 | 驗證方法 | HashiCorp Vault 範例的驗證方法。 |
| dashboard_url | 必要,可更新 | 字串 | dashboard_url | 此工具整合的 URL HashiCorp Vault 伺服器儀表板。 在圖形化使用者介面中,當您按一下 HashiCorp Vault 工具整合卡時,瀏覽器就會進入這個儀表板。 |
| 預設密鑰 | 選用,可更新 | 字串 | 預設密鑰 | 如果您的 HashiCorp Vault 範例沒有傳回秘密名稱清單,則會使用預設秘密名稱。 |
| 名稱 | 必要,可更新 | 字串 | 名稱 | 此工具整合的名稱。 密鑰參照包括此名稱,以識別密鑰所在的密鑰儲存庫。 所有整合至工具鏈的密鑰儲存庫工具都必須具有唯一名稱,才能讓密鑰解析正常運作。 |
| 密碼 | 選用,可更新 | 密碼 | 密碼 | 使用 userpass 身份驗證方法時,您的 HashiCorp Vault 範例的身份驗證密碼。 其他鑑別方法會忽略這個參數。 您可以對此參數使用工具鏈密鑰參照。 如需使用密鑰參照的相關資訊,請參閱 在 Continuous Delivery。 |
| 路徑 | 必要,可更新 | 字串 | 路徑 | HashiCorp Vault 範例中儲存機密的掛載路徑。 |
| role_id | 選用,可更新 | 密碼 | role_id | 使用 approle 身份驗證方法時,您的 HashiCorp Vault 範例的身份驗證角色 ID。 其他鑑別方法會忽略這個參數。 以密鑰形式管理 role_id,且不以純文字形式共用此參數。 您可以對此參數使用工具鏈密鑰參照。 如需密鑰參照的相關資訊,請參閱 在 Continuous Delivery。 |
| 秘密過濾器 | 選用,可更新 | 字串 | 秘密過濾器 | 正則表達式,用來篩選從 HashiCorp Vault 範例傳回的秘密名稱清單。 |
| secret_id | 選用,可更新 | 密碼 | secret_id | 使用 approle 身份驗證方法時,您的 HashiCorp Vault 範例的身份驗證秘密 ID。 其他鑑別方法會忽略這個參數。 您可以對此參數使用工具鏈密鑰參照。 如需密鑰參照的相關資訊,請參閱 在 Continuous Delivery中保護您的機密資料。 |
| 伺服器網址 | 必要,可更新 | 字串 | 伺服器網址 | 您的 HashiCorp Vault 範例的伺服器 URL。 |
| 記號 | 選用,可更新 | 密碼 | 記號 | 使用 github 和 token 身份验证方法时,您的 HashiCorp Vault 实例的身份验证令牌。 其他鑑別方法會忽略這個參數。 您可以對此參數使用工具鏈密鑰參照。 如需密鑰參照的相關資訊,請參閱 在 Continuous Delivery中保護您的機密資料。 |
| 使用者名稱 | 選用,可更新 | 字串 | 使用者名稱 | 使用 userpass 身份驗證方法時,您的 HashiCorp Vault 範例的身份驗證使用者名稱。 其他鑑別方法會忽略這個參數。 |
進一步了解 HashiCorp Vault
要瞭解有關 HashiCorp Vault 的更多資訊,請參閱 HashiCorp Vault.