Веб-интерфейс управления секретами (веб-интерфейс Stronghold) предназначен для управления механизмами секретов, аутентификацией и контролем доступа в кластере. Работа обеспечивается модулем stronghold.

С его помощью можно:

  • Просматривать и настраивать механизмы секретов, добавлять и редактировать секреты.
  • Управлять методами аутентификации, группами пользователей и сущностями.
  • Контролировать права доступа к данным, временные аренды (leases) и политики безопасности.

Доступ к веб-интерфейсу

Для перехода в веб-интерфейс Stronghold откройте адрес stronghold.<ШАБЛОН_ИМЕН_КЛАСТЕРА>, где <ШАБЛОН_ИМЕН_КЛАСТЕРА> — строка, соответствующая шаблону DNS-имен кластера, указанному в глобальном параметре modules.publicDomainTemplate.

  1. При первом входе введите учетные данные пользователя.
  2. После успешной аутентификации откроется главный экран Stronghold:

    Веб-интерфейс модуля stronghold

Работа с механизмами секретов

Просмотр информации о механизме секретов

Для просмотра информации о механизме секретов:

  1. Кликните по его названию.
  2. В открывшемся окне отобразятся вкладки:
    • «Secrets» — список секретов (ролей, ключей и т.д.).
    • «Configuration» — конфигурация механизма.
    • Кнопка для добавления нового секрета.

Просмотр информации о механизме секретов

Для просмотра конфигурации механизма секретов перейдите на вкладку «Configuration». Содержимое вкладки зависит от просматриваемого механизма секретов.

Просмотр информации о механизме секретов

Для просмотра информации о секрете и его версиях (на примере механизма «Ключ-значение»):

  1. Кликните по его названию в списке секретов.
  2. В открывшемся окне будут доступны вкладки:
    • «Secret» — общая информация о секрете и его версиях.
    • «Metadata» — метаданные секрета.

Просмотр информации о секрете

На вкладке «Secret» отображаются:

  • Переключатель для просмотра сведений в формате JSON.
  • Кнопки:
    • Удаление секрета;
    • Копирование секрета;
    • Выбор версии (если доступно);
    • Добавление новой версии.

Вкладка Секрет

Для просмотра метаданных перейдите на вкладку «Metadata».

Просмотр метаданных

Чтобы добавить новый секрет:

  1. Нажмите кнопку для добавления секрета (роли, ключа и т.д. — название кнопки зависит от механизма секретов) в разделе «Secrets».

    Добавление секрета

  2. В открывшейся форме укажите параметры (состав полей зависит от механизма секретов). Например, форма для добавления секрета «Cubbyhole» содержит:
    • переключатель для просмотра и редактирования секрета в формате JSON;
    • поле для указания пути к секрету («Path»);
    • поле для указания ключа;
    • поле для указания значения;
    • кнопку для добавления новой пары ключ-значение (если необходимо добавить несколько ключей, которые будут иметь одинаковый «Path»).
  3. Для сохранения нажмите «Save».

    Добавление секрета

Чтобы добавить механизм секретов:

  1. Нажмите «Enable new engine».

    Форма добавления

  2. Выберите нужный тип механизма и нажмите «Next».
  3. В окне настройки укажите параметры:
    • Основные настройки (зависят от типа механизма).
    • Опции метода («Method options» — по умолчанию скрыты, нажмите на заголовок для раскрытия).
  4. Для сохранения механизма нажмите «Enable Engine». Для отмены и возврата нажмите «Back».

    Настройки механизма

Управление доступом к данным и функциям Stronghold

Управление доступом к данным и функциям Stronghold осуществляется в разделе Access.

Чтобы перейти в этот раздел, нажмите на «Access» на главном экране веб-интерфейса Stronghold. В левой части экрана раздела находится окно навигации по подразделам, вверху которого расположена ссылка для быстрого перехода на главный экран веб-интерфейса Stronghold. В центре — информация в зависимости от выбранного в данный момент подраздела (по умолчанию — «Методы аутентификации» («Authentication Methods»)).

Работа с методами аутентификации

Подраздел для работы с методами аутентификации открывается по умолчанию при переходе в раздел «Access» с главного экрана. Для перехода из других подразделов необходимо нажать на «Authentication Methods» в меню слева.

Work with method

В этом подразделе доступны:

  • список методов аутентификации, используемых в кластере;
  • поля для фильтрации элементов списка;
  • кнопка для добавления нового метода.

Для методов возможны следующие действия:

  • просмотр конфигурации;
  • изменение конфигурации;
  • удаление метода.

Для просмотра информации о методе аутентификации, нажмите на его название или выберите пункт «View configuration». В окне с информацией о методе аутентификации отображается вкладки с информацией о методе и кнопка для его конфигурирования.

Например, для метода аутентификации oidc_deckhouse в окне просмотра информации о нем отображается одна вкладка «Configuration» и кнопка «Configure».

Чтобы добавить метод аутентификации:

  1. Нажмите кнопку добавления метода «Enable new method» в разделе «Authentication Methods».
  2. Выберите необходимый метод из списка и нажмите «Next».

  3. В открывшемся окне укажите параметры:
    • Поле «Path»;
    • Опции метода («Method options», по умолчанию скрыты, нажмите на заголовок блока для раскрытия).
  4. Для сохранения метода нажмите «Enable Method». Для отмены и возврата к выбору метода нажмите «Back».

Работа с группами пользователей

Для работы с группами пользователей откройте раздел «Groups» в меню слева.

В этом подразделе доступны:

  • список групп пользователей, имеющихся в кластере;
  • поля для фильтрации элементов списка;
  • кнопка для добавления новой группы.

Для групп из списка возможны следующие действия:

  • просмотр детальной информации о группе;
  • изменение настроек группы;
  • удаление групп.

Для просмотра информации о группе пользователей нажмите на её название или выберите пункт «Details».

Чтобы добавить группу пользователей:

  1. Нажмите кнопку «Create group» в подразделе “Groups”.
  2. Заполните форму создания группы.
  3. Для сохранения группы нажмите «Create». Для отмены и возврата к списку групп нажмите «Back».

Работа с сущностями и псевдонимами

Сущности (Entities) в Stronghold — это логические объекты, представляющие пользователя или приложение. Они позволяют объединять различные методы аутентификации под единым идентификатором.

Для работы с сущностями и псевдонимами откройте раздел Entities в левом меню раздела управления доступами.

В центре экрана расположены две вкладки:

  • Entities — список сущностей;
  • Aliases — список псевдонимов.

Также доступны:

  • Поля для фильтрации элементов списка;
  • Кнопка Merge entities для объединения сущностей;
  • Кнопка Create entity для добавления новой сущности.

Возможные действия с сущностями и псевдонимами:

  • Для сущностей (вкладка «Entities»):
    • Просмотр детальной информации;

      Info entities

    • Создание сущности.

      Create entity

    • Удаление сущности.

      Merge entities

  • Для псевдонимов (вкладка «Aliases»):
    • Просмотр детальной информации;

      Info alias

    • Создание псевдонима;

      Create alias

    • Редактирование псевдонима;
    • Удаление псевдонима.

Управление временными правами доступа к секретам и ресурсам (Leases)

Чтобы управлять временными правами доступа к секретам и ресурсам (Leases), нажмите на «Leases», откроется окно для поиска информации об аренде по ее идентификатору.

Leases

Работа с политиками контроля доступа

Работа с политиками контроля доступа в Stronghold осуществляется в разделе «Policies». Перейти в него можно, нажав на «Access». В левой части экрана раздела для работы с политиками находится окно навигации. В центре размещен список политик, фильтр для поиска нужной и меню для добавления новой политики.

Чтобы выбрать нужное действие, нажмите на меню с тремя точками, которая находится в конце строки с названием политики.

Для политик из списка доступны следующие действия:

  • просмотр детальной информации о политике. Чтобы просмотреть информацию о политике, нажмите на её название или выберите пункт «Details». В окне с информацией о политике отображаются сведения о ней в формате HCL, а также меню для загрузки данных на компьютер и для редактирования политики.

    Info policies

  • редактирование политики. Чтобы добавить политику, нажмите «Create ACL policy» на экране для работы с политиками. Откроется форма для ввода имени политики и ее описания в формате HCL.

    Create policies

  • удаление политики.

Работа с дополнительными инструментами

Работа с дополнительными инструментами в Stronghold осуществляется в разделе «Tools». В левой части раздела находится окно навигации по инструментам. В центре отображаются поля выбранного инструмента.

Доступны инструменты:

  • Wrap - для создания wrapping token (токена обертки) для безопасной передачи секретов, который временно «упаковывает» конфиденциальные данные/секреты. Этот токен может быть передан другому пользователю или приложению, которое затем сможет «развернуть» (unwrap) его и получить доступ к «упакованным» данным.

    Wrap

  • Lookup - для просмотра информации о токенах, секретах, арендах (Lease) и иных объектах в Stronghold. С его помощью можно просматривать метаданные, сроки действия, политики доступа и другую информацию, связанную с объектами.

    Lookup

  • Unwrap - для распаковки wrapping token (токена обертки) и получения доступа к «упакованным» данным

    Unwrap

  • Rewrap - для переупаковки — создания нового wrapping token (токена обертки) на основе существующего. Это позволяет продлить срок действия токена или изменить его параметры без необходимости раскрывать защищаемые данные.

    Rewrap

  • Random - для генерации криптографически безопасных случайных данных для создания уникальных идентификаторов, токенов, паролей или иных данных, для которых важна высокая степень случайности и безопасности.

    Random

  • Hash - для генерации хешей для различных данных. Поддерживается несколько алгоритмов кэширования.

    Hash

  • API Explorer — для взаимодействия с API Stronghold через графический интерфейс.

    API

Мониторинг состояния кластера Raft Stronghold

Мониторинг состояния Raft кластера Stronghold осуществляется в разделе «Raft Storage». В левой части интерфейса находится окно навигации по разделам. В центре отображается информация о лидере и узлах кластера, а также меню «Snapshots» для создания резервной копии данных Raft кластера Stronghold и восстановления данных из резервной копии.

Мониторинг активности и оценка нагрузки на Stronghold

Мониторинг активности и оценка нагрузки на Stronghold осуществляется в разделе «Client Count». . В левой части интерфейса находится окно навигации по разделам. В центре размещены две вкладки:

  • Dashboard с информацией о количестве уникальных клиентов за текущий месяц и кнопками выбора другого периода.

    Monitoring

  • Configuration с настройками сбора метрик и возможностью отредактировать их (для этого необходимо нажать «Edit configuration»).

    Congfiguration

Запечатывание и распечатывание хранилища секретов

Запечатывание и распечатывание хранилища секретов осуществляется в разделе «Seal Stronghold». В левой части интерфейса находится окно навигации по разделам. В центре отображается меню для запечатывания и распечатывания хранилища секретов (в зависимости от его текущего состояния).

Когда хранилище находится в состоянии «запечатано» (sealed), он не может обрабатывать запросы на чтение или запись секретов.

Запечатывание и распечатывание хранилища секретов

Работа со Stronghold CLI

Stronghold CLI — инструмент, который применяется для различных операций по управлению секретами, настройке политик, управлению пользователями и т.д. Вызвать Stronghold CLI можно, находясь в любом из разделов интерфейса. Для его запуска нажмите кнопку в левом верхнем углу окна, для закрытия - в левом.

Stronghold