Intégration Akeyless
GGScout prend en charge l'intégration avec Akeyless pour collecter et surveiller vos secrets. Ce guide vous aide à mettre en place et configurer l'intégration.
Fonctionnalités prises en charge
- Collecte de plusieurs versions de secrets
- Authentification par clé API
- Mode d'accessibilité standard
- Prise en charge multi-environnements
Configuration
Pour configurer GGScout afin qu'il fonctionne avec Akeyless, ajoutez la configuration suivante à votre fichier ggscout.toml :
[sources.akeyless]
type = "akeyless"
api_url = "https://api.akeyless.io"
access_id = "${AKEYLESS_ACCESS_ID}"
access_key = "${AKEYLESS_ACCESS_KEY}"
accessibility = "regular"
auth_mode = "apikey"
fetch_all_versions = true
mode = "read"
env = "production"
owner = "devops-team@example.com"
[[sources.akeyless.include]]
resource_ids = ["/app/*", "/database/*", "/api-key"]
[[sources.akeyless.exclude]]
resource_ids = ["/test/*", "/temp/*", "/old-secret"]
Paramètres de configuration
| Paramètre | Description | Requis | Valeur par défaut |
|---|---|---|---|
type | Doit être défini sur "akeyless" | Oui | |
access_id | Votre access ID Akeyless | Oui | |
access_key | Votre access key Akeyless | Oui | |
accessibility | Mode d'accessibilité (par défaut : « regular ») | Non | "regular" |
auth_mode | Mode d'authentification (par ex. « apikey ») | Oui | |
fetch_all_versions | Indique s'il faut collecter toutes les versions des secrets | Oui | |
mode | Mode d'intégration (parmi : « read », « write », « read/write ») | Non | "read" |
api_url | URL de l'API Akeyless | Non | "https://api.akeyless.io" |
env | Libellé d'environnement pour catégoriser les secrets (par ex. « production », « staging », « development ») | Non | |
owner | Propriétaire de cette source (un e-mail, généralement d'un employé ou d'une équipe) | Non | |
[[sources.<name>.include]] | Table de motifs de resource_id à inclure (voir ci-dessous) | Non | |
[[sources.<name>.exclude]] | Table de motifs de resource_id à exclure (voir ci-dessous) | Non |
Note :
- Utilisez les tables
[[sources.<name>.include]]et[[sources.<name>.exclude]]pour spécifier plusieurs règles d'inclusion/exclusion. Chaque table doit comporter un tableauresource_ids. - Les motifs prennent en charge les wildcards (*) uniquement à la fin pour la correspondance par préfixe. Pour des correspondances exactes, indiquez le nom complet sans wildcards.
Authentification
GGScout prend en charge l'authentification avec Akeyless via :
- Clé API : à l'aide de l'access ID et de l'access key
- Variables d'environnement : à l'aide des variables d'environnement standard d'Akeyless
Variables d'environnement
AKEYLESS_ACCESS_ID: votre access ID AkeylessAKEYLESS_ACCESS_KEY: votre access key Akeyless
Bonnes pratiques
- Utilisez des variables d'environnement pour les identifiants sensibles
- Suivez le principe du moindre privilège pour les politiques d'accès
- Activez
fetch_all_versionspour suivre les changements dans vos secrets au fil du temps - Faites tourner régulièrement les access keys
- Utilisez des access IDs distincts pour chaque environnement
- Mettez en place des politiques de rotation de secrets adaptées
- Surveillez les journaux d'accès pour détecter toute activité suspecte
