Red Hat Summit12장. 시크릿 관리 시스템
사용자와 시스템 관리자는 자동화가 머신 및 외부 서비스에 직접 액세스할 수 있도록 머신 및 클라우드 인증 정보를 업로드합니다. 기본적으로 클라우드 서비스의 SSH 암호, SSH 개인 키, API 토큰과 같은 중요한 인증 정보 값은 암호화 후 데이터베이스에 저장됩니다.
인증 정보 플러그인에서 지원하는 외부 인증 정보를 사용하여 인증 정보 필드(예: 암호 또는 SSH 개인 키)를 자동화 컨트롤러에 직접 제공하는 대신 시크릿 관리 시스템에 저장된 값에 매핑할 수 있습니다.
자동화 컨트롤러는 다음과 같은 통합을 포함하는 시크릿 관리 시스템을 제공합니다.
- AWS Secrets Manager 조회
- Centrify Vault 인증 정보 공급자 조회
- CP( CyberArk Central Credential Provider Lookup)
- CyberArk Conjur Secrets Manager 조회
- HashiCorp Vault 키-값 저장소(KV)
- HashiCorp Vault SSH 시크릿 엔진
- Microsoft Azure 키 관리 시스템 (KMS)
- Thycotic DevOps Secrets Vault
- Thycotic Secret Server
이러한 외부 시크릿 값은 필요한 플레이북을 실행하기 전에 가져옵니다.
추가 리소스
사용자 인터페이스에서 시크릿 관리 시스템 인증 정보를 지정하는 방법에 대한 자세한 내용은 인증 정보를 참조하십시오.
12.1. 보안 조회 구성 및 연결
타사 시스템에서 시크릿을 가져올 때 인증 정보 필드를 외부 시스템에 연결합니다. 인증 정보 필드를 외부 시스템에 저장된 값에 연결하려면 해당 시스템에 해당하는 외부 인증 정보를 선택하고 메타데이터 를 제공하여 필요한 값을 조회합니다. 메타데이터 입력 필드는 소스 인증 정보의 외부 인증 정보 유형 정의의 일부입니다.
자동화 컨트롤러는 개발자, 통합자, 시스템 관리자 및 고급 사용자를 위한 인증 정보 플러그인 인터페이스를 제공하여 새로운 외부 인증 정보 유형을 추가하여 다른 시크릿 관리 시스템을 지원하도록 확장할 수 있습니다.
다음 절차에 따라 자동화 컨트롤러를 사용하여 지원되는 각 타사 시크릿 관리 시스템을 구성하고 사용합니다.
프로세스
시크릿 관리 시스템을 사용하여 인증하기 위한 외부 인증 정보를 생성합니다. 최소한 외부 인증 정보의 이름을 지정하고 인증 정보 유형 필드에 다음 중 하나를 선택합니다.
외부 인증 정보에 연결할 유형 세부 정보 영역에 해당하는 필드에 대해 입력 필드의 키
아이콘을 클릭하여 외부 시스템에서 시크릿을 찾기 위한 메타데이터와 함께 하나 이상의 입력 필드를 외부 인증 정보에 연결합니다.
시크릿 정보를 검색하는 데 사용할 입력 소스를 선택합니다.
연결할 인증 정보를 선택하고 클릭합니다. 그러면 입력 소스의 메타데이터 탭으로 이동합니다. 이 예에서는 HashiVault 시크릿 조회를 위한 메타데이터 프롬프트를 보여줍니다. 메타데이터는 사용자가 선택한 입력 소스에 따라 다릅니다.
자세한 내용은 인증 정보 입력 소스 테이블의 메타데이터를 참조하십시오.
클릭하여 시크릿 관리 시스템에 대한 연결을 확인합니다. 조회에 실패하면 다음과 유사한 오류 메시지가 표시됩니다.
- 를 클릭합니다. 대상 인증 정보의 세부 정보 화면으로 돌아갑니다.
- 3단계에서 시작하여 대상 인증 정보의 나머지 입력 필드를 완료합니다. 자동화 컨트롤러는 이러한 방식으로 정보를 연결하여 타사 관리 시스템에서 사용자 이름, 암호, 키, 인증서 및 토큰과 같은 중요한 정보를 검색하고 대상 인증 정보 양식의 나머지 필드를 해당 데이터로 채웁니다.
- 필요한 경우 민감한 정보를 검색하는 방법으로 연결을 사용하지 않는 필드에 수동으로 정보를 제공하십시오. 각 필드에 대한 자세한 내용은 적절한 인증 정보 유형을 참조하십시오.
- 을 클릭합니다.
추가 리소스
자세한 내용은 인증 정보 플러그인 의 개발 문서를 참조하십시오.
12.1.1. 인증 입력 소스에 대한 메타데이터
입력 소스의 메타데이터 탭에 필요한 정보입니다.
AWS Secrets Manager 조회
| 메타데이터 | 설명 |
|---|---|
| AWS 시크릿 관리자 리전 (필수) | 시크릿 관리자가 있는 영역입니다. |
| AWS 시크릿 이름(필수) | AWS 액세스 키로 생성된 AWS 시크릿 이름을 지정합니다. |
Centrify Vault 인증 정보 공급자 조회
| 메타데이터 | 설명 |
|---|---|
| 계정 이름(필수) | Centrify Vault와 관련된 시스템 계정 또는 도메인의 이름입니다. |
| 시스템 이름 | Centrify 포털에서 사용하는 이름을 지정합니다. |
CyberArk Central 인증 정보 공급자 조회
| 메타데이터 | 설명 |
|---|---|
| 오브젝트 쿼리(필수) | 오브젝트에 대한 쿼리를 조회합니다. |
| 오브젝트 쿼리 형식 |
특정 보안 이름에 대해 |
| 오브젝트 속성 |
반환할 속성의 이름을 지정합니다. 예를 들어 |
| 이유 | 오브젝트 정책에 필요한 경우 시크릿을 체크아웃하는 이유를 제공하여 CyberArk에서 이를 기록합니다. |
CyberArk Conjur 시크릿s 조회
| 메타데이터 | 설명 |
|---|---|
| 시크릿 ID | 시크릿의 ID입니다. |
| 시크릿 버전 | 필요한 경우 시크릿 버전을 지정합니다. 또는 최신 버전을 사용하도록 비워 둡니다. |
HashiVault 시크릿 조회
| 메타데이터 | 설명 |
|---|---|
| 시크릿 백엔드 이름 | 사용할 KV 백엔드의 이름을 지정합니다. 대신 Secret(시크릿 경로) 필드의 첫 번째 경로 세그먼트를 사용하려면 비워 둡니다. |
| 시크릿 경로(필수) |
시크릿 정보가 저장되는 경로를 지정합니다(예: |
| 키 이름(필수) | 시크릿 정보를 검색할 키 이름을 지정합니다. |
| 시크릿 버전(V2만 해당) | 필요한 경우 버전을 지정합니다. 또는 최신 버전을 사용하도록 비워 둡니다. |
HashiCorp 서명 SSH
| 메타데이터 | 설명 |
|---|---|
| 서명되지 않은 공개 키(필수) | 서명하려는 인증서의 공개 키를 지정합니다. 대상 호스트의 인증된 키 파일에 있어야 합니다. |
| 시크릿 경로(필수) |
시크릿 정보가 저장되는 경로를 지정합니다(예: |
| 역할 이름(필수) | 역할은 Hashi Vault에 저장된 SSH 설정 및 매개변수의 컬렉션입니다. 일반적으로 다른 권한 또는 시간 초과로 일부를 지정할 수 있습니다. 예를 들면 다음과 같습니다. 예를 들어 root 및 기타 권한이 없는 인증서를 가져올 수 있는 역할이 있을 수 있습니다. |
| 유효한 보안 주체 | 저장된 키에 대한 인증서를 인증하도록 Vault에 요청할 기본값 이외의 사용자(한 명 이상)를 지정합니다. Hashi Vault에는 서명할 기본 사용자(예: ec2-user)가 있습니다. |
Microsoft Azure KMS
| 메타데이터 | 설명 |
|---|---|
| 시크릿 이름(필수) | Microsoft Azure의 Key vault 앱에서 참조되는 시크릿의 이름입니다. |
| 시크릿 버전 | 필요한 경우 시크릿 버전을 지정합니다. 또는 최신 버전을 사용하도록 비워 둡니다. |
Thycotic DevOps Secrets Vault
| 메타데이터 | 설명 |
|---|---|
| 시크릿 경로(필수) | 시크릿 정보가 저장되는 경로를 지정합니다(예: /path/username ). |
Thycotic Secret Server
| 메타데이터 | 설명 |
|---|---|
| 시크릿 ID (필수) | 시크릿의 ID입니다. |
| 시크릿 필드 | 시크릿에서 사용할 필드를 지정합니다. |
12.1.2. AWS Secrets Manager 조회
이 플러그인을 사용하면 Amazon Web Services를 인증 정보 입력 소스로 사용하여 Amazon Web Services Secrets Manager에서 시크릿을 가져올 수 있습니다. AWS Secrets Manager는 Microsoft Azure Key Vault에 유사한 서비스를 제공하며 AWS 컬렉션은 이를 위한 조회 플러그인을 제공합니다.
인증 정보 유형에 대해 AWS Secrets Manager 조회를 선택하는 경우 다음 메타데이터를 제공하여 조회를 구성합니다.
- AWS 액세스 키 (필수): AWS 키 관리 시스템과 통신하는 데 사용되는 액세스 키 제공
- AWS Secret Key (필수): AWS IAM 콘솔에서 가져온 시크릿 제공
다음은 구성된 AWS Secret Manager 인증 정보의 예입니다.
12.1.3. Centrify Vault 인증 정보 공급자 조회
이 통합이 작동하려면 시크릿을 저장하기 위해 실행 중인 Centrify Vault 웹 서비스가 필요합니다. 인증 정보 유형에 대해 Centrify Vault 인증 정보 공급자 조회를 선택하면 다음 메타데이터를 제공하여 조회를 구성합니다.
- Centrify Tenant URL (필수): Centrify의 시크릿 관리 시스템과 통신하는 데 사용되는 URL 지정
- Centrify API 사용자 (필수): 사용자 이름 지정
- Centrify API Password (필수): 암호를 지정
- OAuth2 애플리케이션 ID : OAuth2 클라이언트와 연결된 식별자를 지정
- OAuth2 Scope : OAuth2 클라이언트의 범위를 지정
12.1.4. CyberArk Central Credential Provider (CCP) 조회
이 통합이 작동하려면 시크릿을 저장하려면 CyberArk 중앙 인증 정보 공급자 웹 서비스가 실행 중이어야 합니다. 인증 정보 유형에 대해 CyberArk 중앙 인증 정보 공급자 조회를 선택하면 다음 메타데이터를 제공하여 조회를 구성합니다.
- CyberArk CCP URL (필수): CyberArk CCP의 시크릿 관리 시스템과 통신하는 데 사용되는 URL을 지정합니다. http 또는 https와 같은 URL 스키마를 포함해야 합니다.
- 선택 사항: Web Service ID: 웹 서비스의 식별자를 지정합니다. 이 공백을 비워 두면 기본적으로 AIMWebService가 설정됩니다.
- 애플리케이션 ID (필수): CyberArk CCP 서비스에서 제공하는 식별자를 지정합니다.
- Client Key: CyberArk에서 제공하는 경우 클라이언트 키를 붙여넣습니다.
-
클라이언트 인증서: CyberArk에서 제공하는 경우 인증서를 붙여넣을 때
BEGIN CERTIFICATE및END CERTIFICATE행을 포함합니다. - SSL 인증서 확인: 이 옵션은 URL에서 HTTPS를 사용하는 경우에만 사용할 수 있습니다. 서버의 SSL/TLS 인증서가 유효하고 신뢰할 수 있는지 확인하려면 이 옵션을 선택합니다. 내부 또는 개인 CA를 사용하는 환경의 경우 이 옵션을 선택하지 않은 상태로 두고 확인을 비활성화합니다.
12.1.5. CyberArk Conjur Secrets Manager 조회
Conjur Cloud 테넌트를 대상으로 사용할 수 있는 상태에서 CyberArk Conjur 시크릿 조회 외부 관리 시스템 인증 정보 플러그인을 구성합니다.
Credential Type 에 대해 CyberArk Conjur Secrets Manager 조회를 선택하면 다음 메타데이터를 제공하여 조회를 구성합니다.
- Conjur URL (필수): CyberArk Conjur의 시크릿 관리 시스템과 통신하는 데 사용되는 URL을 제공합니다. 여기에는 http 또는 https와 같은 URL 체계가 포함되어야 합니다.
- API 키 (필수): Conjur 관리자가 제공한 키 제공
- 계정 (필수): 조직의 계정 이름
- 사용자 이름 (필수): 이 서비스에 대해 인증된 특정 사용자
-
공개 키 인증서: CyberArk에서 제공하는 경우 공개 키를 붙여넣을 때
BEGIN CERTIFICATE및END CERTIFICATE행 포함
다음은 구성된 CyberArk Conjur 인증 정보의 예입니다.
12.1.6. HashiCorp Vault 시크릿 조회
인증 정보 유형에 대해 HashiCorp Vault 시크릿 조회를 선택하면 다음 메타데이터를 지정하여 조회를 구성합니다.
- 서버 URL (필수): HashiCorp Vault의 시크릿 관리 시스템과 통신하는 데 사용되는 URL을 지정합니다.
- Token: HashiCorp의 서버를 인증하는 데 사용되는 액세스 토큰을 지정합니다.
- CA Certificate: HashiCorp의 서버를 확인하는 데 사용되는 CA 인증서를 지정합니다.
- Approle Role_ID: 인증에 Appprole을 사용하는 경우 ID를 지정합니다.
- Approle Secret_ID: Approle 인증을 위한 해당 시크릿 ID를 지정합니다.
- 클라이언트 인증서: Hashicorp Vault에서 예상되는 필수 중간 인증서를 포함하여 TLS 인증 방법을 사용할 때 PEM으로 인코딩된 클라이언트 인증서를 지정합니다.
- 클라이언트 인증서 키: TLS 인증 방법을 사용할 때 PEM 인코딩 인증서 개인 키를 지정합니다.
- TLS 인증 역할: TLS 인증 방법을 사용할 때 클라이언트 인증서에 해당하는 Hashicorp Vault에서 역할 또는 인증서 이름을 지정합니다. 제공되지 않으면 Hashicorp Vault가 인증서와 자동으로 일치하려고 시도합니다.
- namespace name: 네임스페이스 이름을 지정합니다(Hashicorp Vault 엔터프라이즈만 해당).
- Kubernetes 역할: Kubernetes 인증을 사용할 때 역할 이름을 지정합니다.
- username: 이 서비스를 인증하는 데 사용할 사용자의 사용자 이름을 입력합니다.
- password: 이 서비스를 인증하는 데 사용할 사용자와 연결된 암호를 입력합니다.
-
Auth: 기본 경로
/approle이 아닌 경우 경로를 지정합니다. - API 버전 (필수): 정적 조회에는 v1을 선택하고 버전이 지정된 조회에는 v2를 선택합니다.
LDAP 인증을 사용하려면 HashiCorp의 Vault UI에서 LDAP를 구성하고 사용자에게 정책을 추가해야 합니다. cubbyhole은 기본 시크릿 마운트의 이름입니다. 적절한 권한이 있는 경우 다른 마운트를 생성하고 키 값을 작성할 수 있습니다.
조회를 테스트하려면 Hashicorp Vault 조회를 사용하는 다른 인증 정보를 생성합니다.
추가 리소스
LDAP 인증 방법 및 해당 필드에 대한 자세한 내용은 LDAP 인증 방법에 대한 Vault 설명서를 참조하십시오.
Approle 인증 방법 및 해당 필드에 대한 자세한 내용은 AppRole 인증 방법에 대한 Vault 설명서를 참조하십시오.
userpass 인증 방법 및 해당 필드에 대한 자세한 내용은 userpass auth 방법에 대한 Vault 설명서를 참조하십시오.
Kubernetes 인증 메서드 및 해당 필드에 대한 자세한 내용은 Kubernetes 인증 방법에 대한 Vault 설명서를 참조하십시오.
TLS 인증서 인증 방법 및 해당 필드에 대한 자세한 내용은 TLS 인증서 인증 방법에 대한 Vault 설명서 를 참조하십시오.
12.1.7. HashiCorp Vault 서명 SSH
인증 정보 유형에 대해 HashiCorp Vault 서명 SSH 를 선택하면 다음 메타데이터를 지정하여 조회를 구성합니다.
- 서버 URL (필수): HashiCorp 서명 SSH의 시크릿 관리 시스템과 통신하는 데 사용되는 URL을 지정합니다.
- Token: HashiCorp의 서버를 인증하는 데 사용되는 액세스 토큰을 지정합니다.
- CA Certificate: HashiCorp의 서버를 확인하는 데 사용되는 CA 인증서를 지정합니다.
- Approle Role_ID: Approle 인증을 위한 ID를 지정합니다.
- Approle Secret_ID: Approle 인증을 위한 해당 시크릿 ID를 지정합니다.
- 클라이언트 인증서: Hashicorp Vault에서 예상되는 필수 중간 인증서를 포함하여 TLS 인증 방법을 사용할 때 PEM으로 인코딩된 클라이언트 인증서를 지정합니다.
- 클라이언트 인증서 키: TLS 인증 방법을 사용할 때 PEM 인코딩 인증서 개인 키를 지정합니다.
- TLS 인증 역할: TLS 인증 방법을 사용할 때 클라이언트 인증서에 해당하는 Hashicorp Vault에서 역할 또는 인증서 이름을 지정합니다. 제공되지 않으면 Hashicorp Vault가 인증서와 자동으로 일치하려고 시도합니다.
- namespace name: 네임스페이스 이름을 지정합니다(Hashicorp Vault 엔터프라이즈만 해당).
- Kubernetes 역할: Kubernetes 인증을 사용할 때 역할 이름을 지정합니다.
- username: 이 서비스를 인증하는 데 사용할 사용자의 사용자 이름을 입력합니다.
- password: 이 서비스를 인증하는 데 사용할 사용자와 연결된 암호를 입력합니다.
-
Auth: 기본 경로
/approle이 아닌 경우 경로를 지정합니다.
추가 리소스
Approle 인증 방법 및 해당 필드에 대한 자세한 내용은 Approle Auth Method 에 대한 Vault 설명서를 참조하십시오.
Kubernetes 인증 방법 및 해당 필드에 대한 자세한 내용은 Kubernetes 인증 방법에 대한 Vault 설명서를 참조하십시오.
TLS 인증서 인증 방법 및 해당 필드에 대한 자세한 내용은 TLS 인증서 인증 방법에 대한 Vault 설명서 를 참조하십시오.
12.1.8. Microsoft Azure Key Vault
인증 정보 유형에 대해 Microsoft Azure Key Vault 를 선택하면 다음 메타데이터를 지정하여 조회를 구성합니다.
- Vault URL (DNS 이름) (필수): Microsoft Azure의 키 관리 시스템과 통신하는 데 사용되는 URL 지정
- 클라이언트 ID (필수): Microsoft Azure Active Directory에서 가져온 ID 지정
- 클라이언트 시크릿 (필수): Microsoft Azure Active Directory에서 가져온 시크릿 제공
- 테넌트 ID (필수): Azure 서브스크립션 내에서 Microsoft Azure Active Directory 인스턴스와 연결된 고유 ID를 지정합니다.
- Cloud Environment: 적용할 해당 클라우드 환경 선택
12.1.9. Thycotic DevOps Secrets Vault
Thycotic DevOps Secrets Vault for Credential Type 을 선택하면 다음 메타데이터를 제공하여 조회를 구성합니다.
- 테넌트 (필수): Thycotic의 시크릿 관리 시스템과 통신하는 데 사용되는 URL 지정
- 최상위 도메인(TLD): 통합하려는 시크릿 자격 증명과 연결된 최상위 도메인 지정(예: .com, .edu 또는 .org)을 지정합니다.
- 클라이언트 ID (필수): Thycotic 시크릿 관리 시스템에서 가져온 ID 지정
- 클라이언트 시크릿 (필수): Thycotic 시크릿 관리 시스템에서 가져온 시크릿 지정
12.1.10. Thycotic Secret Server
인증 정보 유형에 Thycotic Secrets Server 를 선택하는 경우 다음 메타데이터를 지정하여 조회를 구성합니다.
- Secret Server URL (필수): Thycotic Secrets Server 관리 시스템과 통신하는 데 사용되는 URL 지정
- 사용자 이름 (필수): 이 서비스에 대해 인증된 사용자 지정
- 암호 (필수): 사용자와 연결된 암호를 지정합니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}