6장. 서비스 계정 암호 순환

정기적으로 서비스 계정 암호를 순환하여 보안 포스처를 개선할 수 있습니다.

6.1. 오버클라우드 암호 관리 개요
링크 복사

Overcloud에서 실행되는 OpenStack 서비스는 ID 서비스(keystone) 자격 증명에 의해 인증됩니다. 이러한 암호는 초기 배포 프로세스 중에 생성되며 heat 매개 변수로 정의됩니다. 예를 들면 다음과 같습니다.

            'MistralPassword',
            'BarbicanPassword',
            'AdminPassword',
            'CeilometerMeteringSecret',
            'ZaqarPassword',
            'NovaPassword',
            'MysqlRootPassword'

            'MistralPassword',
            'BarbicanPassword',
            'AdminPassword',
            'CeilometerMeteringSecret',
            'ZaqarPassword',
            'NovaPassword',
            'MysqlRootPassword'

Copy to Clipboard

Toggle word wrap

워크플로 서비스(mistral) 워크플로를 사용하여 서비스 계정에서 사용하는 암호를 회전할 수 있습니다. 그러나 KEK(키 암호화 키) 및 Fernet 키와 같은 DO_NOT_ROTATE 에 나열된 경우 암호가 순환되지 않습니다.

DO_NOT_ROTATE_LIST = (
    'BarbicanSimpleCryptoKek',
    'SnmpdReadonlyUserPassword',
    'KeystoneCredential0',
    'KeystoneCredential1',
    'KeystoneFernetKey0',
    'KeystoneFernetKey1',
    'KeystoneFernetKeys',
)

DO_NOT_ROTATE_LIST = (
    'BarbicanSimpleCryptoKek',
    'SnmpdReadonlyUserPassword',
    'KeystoneCredential0',
    'KeystoneCredential1',
    'KeystoneFernetKey0',
    'KeystoneFernetKey1',
    'KeystoneFernetKeys',
)

Copy to Clipboard

Toggle word wrap

이러한 암호는 다음과 같은 이유로 DO_NOT_ROTATE 목록에 있습니다.

BarbicanSimpleCryptoKek - 이 암호를 변경하려면 모든 비밀을 다시 암호화해야 합니다.
KeystoneFernetKey 및 KeystoneCredential - 이를 교체하기 위해 별도의 워크플로가 이미 존재합니다. 자세한 내용은 워크플로 서비스를 사용하여 Fernet 키 순환을 참조하십시오.

6장. 서비스 계정 암호 순환

6.1. 오버클라우드 암호 관리 개요
링크 복사

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6장. 서비스 계정 암호 순환

6.1. 오버클라우드 암호 관리 개요링크 복사링크가 클립보드에 복사되었습니다!

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.1. 오버클라우드 암호 관리 개요
링크 복사