Intégration CyberArk Secrets Manager Self-Hosted
ggscout prend en charge l'intégration avec CyberArk Secrets Manager Self-Hosted (Conjur Enterprise et OSS) pour collecter et surveiller vos secrets. Ce guide vous aide à mettre en place et configurer l'intégration.
Fonctionnalités prises en charge
- Collecte de plusieurs versions de secrets
- Authentification user et API
- Configuration de serveur self-hosted
- Accès basé sur le compte (account)
Configuration
Le tableau suivant liste les options de configuration disponibles pour ggscout lors de l'intégration avec CyberArk Secrets Manager Self-Hosted :
| Paramètre | Description | Requis | Valeur par défaut |
|---|---|---|---|
type | Doit être défini sur "cyberarkselfhosted" | Oui | |
server_url | L'URL de votre serveur CyberArk Secrets Manager self-hosted | Oui | |
account | Le nom du compte Conjur | Oui | |
auth_mode | Mode d'authentification (parmi : « user », « api ») | Oui | |
fetch_all_versions | Indique s'il faut collecter toutes les versions des secrets | Oui | |
accept_invalid_certs | Accepte les certificats invalides/auto-signés (uniquement pour le développement) | Non | false |
mode | Mode d'intégration (parmi : « read », « write », « read/write ») | Non | "read" |
env | Libellé d'environnement pour catégoriser les secrets (par ex. « production », « staging », « development ») | Non | |
owner | Propriétaire de cette source (un e-mail, généralement d'un employé ou d'une équipe) | Non | |
include | Liste de motifs de chemins à inclure dans la collecte de secrets | Non | |
exclude | Liste de motifs de chemins à exclure de la collecte de secrets | Non |
Avec des paramètres supplémentaires selon le mode d'authentification choisi :
Pour l'authentification User :
| Paramètre | Description | Requis | Valeur par défaut |
|---|---|---|---|
username | Nom d'utilisateur pour l'authentification | Oui | |
password | Mot de passe pour l'authentification | Oui |
Pour l'authentification API :
| Paramètre | Description | Requis | Valeur par défaut |
|---|---|---|---|
login | Identité de login (incluant le préfixe host/ pour les workloads) | Oui | |
api_key | Clé API pour l'authentification | Oui |
Authentification
ggscout prend en charge deux méthodes d'authentification pour CyberArk Secrets Manager Self-Hosted :
Authentification User
Utilisez cette méthode pour vous authentifier avec un nom d'utilisateur et un mot de passe :
[sources.cyberarkselfhosted]
type = "cyberarkselfhosted"
server_url = "https://conjur.example.com"
account = "myorg"
auth_mode = "user"
username = "${CONJUR_USERNAME}"
password = "${CONJUR_PASSWORD}"
fetch_all_versions = true
mode = "read"
env = "production"
owner = "devops-team@example.com"
[[sources.cyberarkselfhosted.include]]
resource_ids = ["app/*", "database/*", "api-key"]
[[sources.cyberarkselfhosted.exclude]]
resource_ids = ["test/*", "temp/*", "old-secret"]
Authentification API
Utilisez cette méthode pour vous authentifier avec une clé API et une identité de login. C'est l'approche recommandée pour les workloads :
[sources.cyberarkselfhosted]
type = "cyberarkselfhosted"
server_url = "https://conjur.example.com"
account = "myorg"
auth_mode = "api"
login = "${CONJUR_LOGIN}"
api_key = "${CONJUR_API_KEY}"
fetch_all_versions = true
mode = "read"
env = "production"
owner = "devops-team@example.com"
[[sources.cyberarkselfhosted.include]]
resource_ids = ["app/*", "database/*", "api-key"]
[[sources.cyberarkselfhosted.exclude]]
resource_ids = ["test/*", "temp/*", "old-secret"]
Pour l'authentification host/workload, le paramètre login doit inclure le préfixe host/ suivi du chemin d'identité de l'hôte. Par exemple : host/myapp/production/ggscout.
Certificats auto-signés
Si votre CyberArk Secrets Manager self-hosted utilise des certificats auto-signés, vous pouvez désactiver la vérification de certificat pour les environnements de développement :
[sources.cyberarkselfhosted]
type = "cyberarkselfhosted"
server_url = "https://conjur.example.com"
account = "myorg"
auth_mode = "api"
login = "${CONJUR_LOGIN}"
api_key = "${CONJUR_API_KEY}"
fetch_all_versions = true
accept_invalid_certs = true # Only for development!
Définir accept_invalid_certs = true désactive la vérification du certificat TLS. Cela ne doit être utilisé qu'en environnement de développement, jamais en production.
Motifs d'inclusion et d'exclusion
Vous pouvez contrôler quels secrets sont collectés à l'aide de motifs d'inclusion et d'exclusion :
[sources.cyberarkselfhosted]
type = "cyberarkselfhosted"
server_url = "https://conjur.example.com"
account = "myorg"
auth_mode = "api"
login = "${CONJUR_LOGIN}"
api_key = "${CONJUR_API_KEY}"
fetch_all_versions = true
# Only collect secrets matching these patterns
[[sources.cyberarkselfhosted.include]]
resource_ids = ["production/*", "shared/*"]
# Exclude secrets matching these patterns
[[sources.cyberarkselfhosted.exclude]]
resource_ids = ["test-*", "temp-*"]
Mode écriture
Pour activer la synchronisation de secrets (écrire des secrets vers CyberArk Secrets Manager Self-Hosted), définissez le mode sur read/write ou write :
[sources.cyberarkselfhosted]
type = "cyberarkselfhosted"
server_url = "https://conjur.example.com"
account = "myorg"
auth_mode = "api"
login = "${CONJUR_LOGIN}"
api_key = "${CONJUR_API_KEY}"
fetch_all_versions = true
mode = "read/write"
L'identité doit disposer des privilèges update sur les variables cibles pour écrire des secrets.
