Hakbang 3 - Lumikha ng mga secret sa Secrets Manager
Upang paganahin ang access ng Glasswall Halo sa S3 bucket (s3name) na naglalaman ng mga ulat ng CDR, kailangan ang isang iam user at role.
-
Lumikha ng IAM user (
external_secrets_iam_user) at magtalaga ng role (external_secrets_iam_role) na may policy na nagpapahintulot ng read at write sa s3 bucket na mag-iimbak ng mga ulat ng CDR. Dapat nalikha na ang bucket na ito sa hakbang na prerequisites. -
Lumikha ng
AWS_ACCESS_KEY_IDSecret na nag-iimbak ng access key id ng iam user. -
Lumikha ng
AWS_SECRET_ACCESS_KEYSecret na nag-iimbak ng secret access key ng iam user.
3.1 - String ng koneksyon ng MongoDB
Upang paganahin ang Glasswall Halo Policy Management API na gumawa at mamahala ng mga policy sa MongoDB, i-store ang MongoDB connection string sa AWS Secrets Manager.
- Maaari mong kunin ang DocumentDB MongoDB compatible connection string mula sa AWS Console, gaya ng ipinapakita sa halimbawa sa ibaba.
mongodb://${username}:${password}@${endpoint}:${port}/?ssl=true&ssl_ca_certs=rds->combined-ca-bundle.pem&replicaSet=rs0&readPreference=secondaryPreferred&retryWrites=false
- Ilagay ang iyong connection string (na naka-highlight sa screenshot) sa pamamagitan ng pagpapalit sa
${mongodb_connstring}, at ilagay ang iyong AWS region sa pamamagitan ng pagpapalit sa${region}(gaya ng nasa ibaba).
aws secretsmanager create-secret --name "mongodb-connectionstring" --secret-string >"${mongodb_connstring}" --region "${region}"
Idagdag ang mga password ng MongoDB sa AWS Secret Manager bilang isang secret
Tandaan: kung na-configure at na-setup mo na dati ang MongoDB sa loob ng AWS at nagawa mo na ang iyong MongoDB connection string gaya ng nakalista sa itaas, maaari mong laktawan ang hakbang na ito.
Kung hindi, upang paganahin ang Policy Management API ng Glasswall Halo na gumawa at mamahala ng mga policy sa MongoDB, at ang Asynchronous API na gumawa at mamahala ng mga request, kailangang i-deploy ang MongoDB gamit ang mga Helm chart na nakalista sa Hakbang 8.
Dalawang user ang gagawin ng MongoDB Helm chart at kailangang itakda ang password ng kaukulang user sa Key Vault secret.
Ang sensitibong data, gaya ng mga password, ay dapat nasa AWS Secrets Manager.
aws secretsmanager create-secret --name "mongodb-cdrp-password" --secret-string "<cdrp-user-password>" --region "${region}"
aws secretsmanager create-secret --name "mongodb-admin-password" --secret-string "<admin-user-password>" --region "${region}"
3.2 - Amazon DocumentDB Certificate Authority (CA)
Para matagumpay na makapag-authenticate ang serbisyong cdrplatform-policy-API sa MongoDB, dapat nitong pagkatiwalaan ang Amazon DocumentDB Certificate Authority.
- Gumawa ng secret na tinatawag na
cdrp-rds-ca-bundlesa Secrets Manager at idagdag ang nilalaman ng certificate authority na ibinigay ng Amazon.
3.3 - [Opsyonal] Magdagdag ng mga credential ng ReversingLabs
Upang maisama ang Glasswall Halo sa ReversingLabs, i-store ang mga credential ng ReversingLabs sa AWS Secrets Manager.
Palitan ang $reversinglabs_username at $reversinglabs_password ng aktuwal na username at password.
aws secretsmanager create-secret --name "halo-reversinglabs-username" --secret-string "${reversinglabs_username}" --region "${region}"
aws secretsmanager create-secret --name "halo-reversinglabs-password" --secret-string "${reversinglabs_password}" --region "${region}"
3.4 - [Opsyonal] Magdagdag ng mga sertipiko ng ICAP MTLS
Maaaring i-configure ang mga ICAP server para sa mutual client authentication gamit ang mga sertipiko ng MTLS. Imo-mount ang mga sertipiko sa mga pod ng ICAP server gamit ang mga Kubernetes secret.
Idagdag ang mga sertipiko ng server at certificate authority sa AWS Secrets Manager upang ma-sync ang mga ito sa mga Kubernetes secret.
aws secretsmanager create-secret --name "tls-server-cert" --region "$region" --secret-string <file://path/to/mtls-server-cert.pem>
aws secretsmanager create-secret --name "tls-server-key" --region "$region" --secret-string <file://path/to/mtls-server-key.pem>
aws secretsmanager create-secret --name "tls-cafile" --region "$region" --secret-string <file://path/to/mtls-ca-cert.pem>