Веб-интерфейс управления секретами (веб-интерфейс Stronghold) предназначен для управления механизмами секретов, аутентификацией и контролем доступа в кластере. Работа обеспечивается модулем stronghold
.
С его помощью можно:
- Просматривать и настраивать механизмы секретов, добавлять и редактировать секреты.
- Управлять методами аутентификации, группами пользователей и сущностями.
- Контролировать права доступа к данным, временные аренды (leases) и политики безопасности.
Доступ к веб-интерфейсу
Для перехода в веб-интерфейс Stronghold откройте адрес stronghold.<ШАБЛОН_ИМЕН_КЛАСТЕРА>
, где <ШАБЛОН_ИМЕН_КЛАСТЕРА>
— строка, соответствующая шаблону DNS-имен кластера, указанному в глобальном параметре modules.publicDomainTemplate
.
- При первом входе введите учетные данные пользователя.
-
После успешной аутентификации откроется главный экран Stronghold:
Работа с механизмами секретов
Просмотр информации о механизме секретов
Для просмотра информации о механизме секретов:
- Кликните по его названию.
- В открывшемся окне отобразятся вкладки:
- «Secrets» — список секретов (ролей, ключей и т.д.).
- «Configuration» — конфигурация механизма.
- Кнопка для добавления нового секрета.
Для просмотра конфигурации механизма секретов перейдите на вкладку «Configuration». Содержимое вкладки зависит от просматриваемого механизма секретов.
Для просмотра информации о секрете и его версиях (на примере механизма «Ключ-значение»):
- Кликните по его названию в списке секретов.
- В открывшемся окне будут доступны вкладки:
- «Secret» — общая информация о секрете и его версиях.
- «Metadata» — метаданные секрета.
На вкладке «Secret» отображаются:
- Переключатель для просмотра сведений в формате JSON.
- Кнопки:
- Удаление секрета;
- Копирование секрета;
- Выбор версии (если доступно);
- Добавление новой версии.
Для просмотра метаданных перейдите на вкладку «Metadata».
Чтобы добавить новый секрет:
-
Нажмите кнопку для добавления секрета (роли, ключа и т.д. — название кнопки зависит от механизма секретов) в разделе «Secrets».
- В открывшейся форме укажите параметры (состав полей зависит от механизма секретов). Например, форма для добавления секрета «Cubbyhole» содержит:
- переключатель для просмотра и редактирования секрета в формате JSON;
- поле для указания пути к секрету («Path»);
- поле для указания ключа;
- поле для указания значения;
- кнопку для добавления новой пары ключ-значение (если необходимо добавить несколько ключей, которые будут иметь одинаковый «Path»).
-
Для сохранения нажмите «Save».
Чтобы добавить механизм секретов:
-
Нажмите «Enable new engine».
- Выберите нужный тип механизма и нажмите «Next».
- В окне настройки укажите параметры:
- Основные настройки (зависят от типа механизма).
- Опции метода («Method options» — по умолчанию скрыты, нажмите на заголовок для раскрытия).
-
Для сохранения механизма нажмите «Enable Engine». Для отмены и возврата нажмите «Back».
Управление доступом к данным и функциям Stronghold
Управление доступом к данным и функциям Stronghold осуществляется в разделе Access.
Чтобы перейти в этот раздел, нажмите на «Access» на главном экране веб-интерфейса Stronghold. В левой части экрана раздела находится окно навигации по подразделам, вверху которого расположена ссылка для быстрого перехода на главный экран веб-интерфейса Stronghold. В центре — информация в зависимости от выбранного в данный момент подраздела (по умолчанию — «Методы аутентификации» («Authentication Methods»)).
Работа с методами аутентификации
Подраздел для работы с методами аутентификации открывается по умолчанию при переходе в раздел «Access» с главного экрана. Для перехода из других подразделов необходимо нажать на «Authentication Methods» в меню слева.
В этом подразделе доступны:
- список методов аутентификации, используемых в кластере;
- поля для фильтрации элементов списка;
- кнопка для добавления нового метода.
Для методов возможны следующие действия:
- просмотр конфигурации;
- изменение конфигурации;
- удаление метода.
Для просмотра информации о методе аутентификации, нажмите на его название или выберите пункт «View configuration». В окне с информацией о методе аутентификации отображается вкладки с информацией о методе и кнопка для его конфигурирования.
Например, для метода аутентификации oidc_deckhouse
в окне просмотра информации о нем отображается одна вкладка «Configuration» и кнопка «Configure».
Чтобы добавить метод аутентификации:
- Нажмите кнопку добавления метода «Enable new method» в разделе «Authentication Methods».
-
Выберите необходимый метод из списка и нажмите «Next».
- В открывшемся окне укажите параметры:
- Поле «Path»;
- Опции метода («Method options», по умолчанию скрыты, нажмите на заголовок блока для раскрытия).
- Для сохранения метода нажмите «Enable Method». Для отмены и возврата к выбору метода нажмите «Back».
Работа с группами пользователей
Для работы с группами пользователей откройте раздел «Groups» в меню слева.
В этом подразделе доступны:
- список групп пользователей, имеющихся в кластере;
- поля для фильтрации элементов списка;
- кнопка для добавления новой группы.
Для групп из списка возможны следующие действия:
- просмотр детальной информации о группе;
- изменение настроек группы;
- удаление групп.
Для просмотра информации о группе пользователей нажмите на её название или выберите пункт «Details».
Чтобы добавить группу пользователей:
- Нажмите кнопку «Create group» в подразделе “Groups”.
- Заполните форму создания группы.
- Для сохранения группы нажмите «Create». Для отмены и возврата к списку групп нажмите «Back».
Работа с сущностями и псевдонимами
Сущности (Entities) в Stronghold — это логические объекты, представляющие пользователя или приложение. Они позволяют объединять различные методы аутентификации под единым идентификатором.
Для работы с сущностями и псевдонимами откройте раздел Entities в левом меню раздела управления доступами.
В центре экрана расположены две вкладки:
- Entities — список сущностей;
- Aliases — список псевдонимов.
Также доступны:
- Поля для фильтрации элементов списка;
- Кнопка Merge entities для объединения сущностей;
- Кнопка Create entity для добавления новой сущности.
Возможные действия с сущностями и псевдонимами:
- Для сущностей (вкладка «Entities»):
-
Просмотр детальной информации;
-
Создание сущности.
-
Удаление сущности.
-
- Для псевдонимов (вкладка «Aliases»):
-
Просмотр детальной информации;
-
Создание псевдонима;
- Редактирование псевдонима;
- Удаление псевдонима.
-
Управление временными правами доступа к секретам и ресурсам (Leases)
Чтобы управлять временными правами доступа к секретам и ресурсам (Leases), нажмите на «Leases», откроется окно для поиска информации об аренде по ее идентификатору.
Работа с политиками контроля доступа
Работа с политиками контроля доступа в Stronghold осуществляется в разделе «Policies». Перейти в него можно, нажав на «Access». В левой части экрана раздела для работы с политиками находится окно навигации. В центре размещен список политик, фильтр для поиска нужной и меню для добавления новой политики.
Чтобы выбрать нужное действие, нажмите на меню с тремя точками, которая находится в конце строки с названием политики.
Для политик из списка доступны следующие действия:
-
просмотр детальной информации о политике. Чтобы просмотреть информацию о политике, нажмите на её название или выберите пункт «Details». В окне с информацией о политике отображаются сведения о ней в формате HCL, а также меню для загрузки данных на компьютер и для редактирования политики.
-
редактирование политики. Чтобы добавить политику, нажмите «Create ACL policy» на экране для работы с политиками. Откроется форма для ввода имени политики и ее описания в формате HCL.
-
удаление политики.
Работа с дополнительными инструментами
Работа с дополнительными инструментами в Stronghold осуществляется в разделе «Tools». В левой части раздела находится окно навигации по инструментам. В центре отображаются поля выбранного инструмента.
Доступны инструменты:
-
Wrap - для создания wrapping token (токена обертки) для безопасной передачи секретов, который временно «упаковывает» конфиденциальные данные/секреты. Этот токен может быть передан другому пользователю или приложению, которое затем сможет «развернуть» (unwrap) его и получить доступ к «упакованным» данным.
-
Lookup - для просмотра информации о токенах, секретах, арендах (Lease) и иных объектах в Stronghold. С его помощью можно просматривать метаданные, сроки действия, политики доступа и другую информацию, связанную с объектами.
-
Unwrap - для распаковки wrapping token (токена обертки) и получения доступа к «упакованным» данным
-
Rewrap - для переупаковки — создания нового wrapping token (токена обертки) на основе существующего. Это позволяет продлить срок действия токена или изменить его параметры без необходимости раскрывать защищаемые данные.
-
Random - для генерации криптографически безопасных случайных данных для создания уникальных идентификаторов, токенов, паролей или иных данных, для которых важна высокая степень случайности и безопасности.
-
Hash - для генерации хешей для различных данных. Поддерживается несколько алгоритмов кэширования.
-
API Explorer — для взаимодействия с API Stronghold через графический интерфейс.
Мониторинг состояния кластера Raft Stronghold
Мониторинг состояния Raft кластера Stronghold осуществляется в разделе «Raft Storage». В левой части интерфейса находится окно навигации по разделам. В центре отображается информация о лидере и узлах кластера, а также меню «Snapshots» для создания резервной копии данных Raft кластера Stronghold и восстановления данных из резервной копии.
Мониторинг активности и оценка нагрузки на Stronghold
Мониторинг активности и оценка нагрузки на Stronghold осуществляется в разделе «Client Count». . В левой части интерфейса находится окно навигации по разделам. В центре размещены две вкладки:
-
Dashboard с информацией о количестве уникальных клиентов за текущий месяц и кнопками выбора другого периода.
-
Configuration с настройками сбора метрик и возможностью отредактировать их (для этого необходимо нажать «Edit configuration»).
Запечатывание и распечатывание хранилища секретов
Запечатывание и распечатывание хранилища секретов осуществляется в разделе «Seal Stronghold». В левой части интерфейса находится окно навигации по разделам. В центре отображается меню для запечатывания и распечатывания хранилища секретов (в зависимости от его текущего состояния).
Когда хранилище находится в состоянии «запечатано» (sealed), он не может обрабатывать запросы на чтение или запись секретов.
Работа со Stronghold CLI
Stronghold CLI — инструмент, который применяется для различных операций по управлению секретами, настройке политик, управлению пользователями и т.д. Вызвать Stronghold CLI можно, находясь в любом из разделов интерфейса. Для его запуска нажмите кнопку в левом верхнем углу окна, для закрытия - в левом.