Langkah 3 - Tambahkan secret di Key Vault

String koneksi akun penyimpanan

Untuk mengaktifkan akses Glasswall Halo ke akun penyimpanan pelaporan ('saname'), string koneksi diperlukan di Key Vault.

Anda dapat mengambil string koneksi melalui Azure Portal atau melalui Azure CLI seperti ditunjukkan pada contoh di bawah ini. Ingat untuk memasukkan akun penyimpanan dan resource group Anda.

az storage account show-connection-string --name "${saname}" -g "${rgp}"

Masukkan connection string Anda (disorot pada tangkapan layar) dengan mengganti ${saconnstring}, dan masukkan Key Vault Anda dengan mengganti ${kvname} (seperti di bawah ini).

az keyvault secret set --name "azure-storage-connectionstring" --vault-name "${kvname}" --value "${saconnstring}"

3.2A - Opsi database 1 - connection string MongoDB

Untuk mengaktifkan koneksi Halo ke Database, connection string MongoDB harus dibuat di Key Vault

Anda dapat mengambil connection string CosmosDB (kompatibel dengan MongoDB) melalui Azure Portal atau melalui Azure CLI seperti ditunjukkan pada contoh di bawah ini.

Catatan: ingat untuk memasukkan nama akun CosmosDB dan resource group Anda.

Perintah tersebut akan memberikan daftar 4 connection string. Anda dapat menggunakan salah satu dari 2 connection string pertama. Anda tidak dapat menggunakan connection string read-only.

az cosmosdb list-connection-strings --name "${cosmosdb_name}" -g "${rgp}"

Masukkan connection string Anda (disorot pada tangkapan layar) dengan mengganti ${mongodb_connstring}, dan masukkan Key Vault Anda dengan mengganti ${kvname} (seperti di bawah ini).

az keyvault secret set --name "mongodb-connectionstring" --vault-name "${kvname}" --value "${mongodb_connstring}"

Tambahkan kata sandi MongoDB ke Azure Key Vault sebagai secret

Catatan: jika Anda sebelumnya telah mengonfigurasi dan menyiapkan MongoDB di dalam Azure serta membuat connection string MongoDB Anda seperti yang tercantum di atas, Anda dapat melewati langkah ini.

Jika belum, untuk mengaktifkan Policy Management API Glasswall Halo agar dapat membuat dan mengelola policy di MongoDB, serta Asynchronous API untuk membuat dan mengelola request, MongoDB perlu di-deploy menggunakan Helm chart yang tercantum pada Langkah 8.

Dua pengguna akan dibuat oleh Helm chart MongoDB dan kata sandi pengguna yang sesuai perlu ditetapkan dalam secret Vault.

az keyvault secret set --name "mongodb-cdrp-password" --vault-name "${kvname}" --value "<cdrp-user-password>"
az keyvault secret set --name "mongodb-admin-password" --vault-name "${kvname}" --value "<admin-user-password>"

3.2B - Opsi database 2 - string koneksi CosmosDB

Jika CosmosDB disiapkan sebagai pengganti MongoDB, string koneksi Cosmos harus ditambahkan ke Key Vault.

Anda dapat mengambil string koneksi CosmosDB melalui Azure Portal atau melalui Azure CLI seperti ditunjukkan pada contoh di bawah ini. Ingat untuk memasukkan nama akun Cosmos DB dan resource group Anda. Perintah tersebut akan memberikan daftar 4 string koneksi. Anda dapat menggunakan salah satu dari 2 string koneksi pertama. Anda tidak dapat menggunakan string koneksi read-only.

az cosmosdb list-connection-strings --name "${cosmosdb_name}" -g "${rgp}"

Masukkan connection string Anda (disorot pada tangkapan layar) dengan mengganti ${mongodb_connstring}, dan masukkan Key Vault Anda dengan mengganti ${kvname} (seperti di bawah ini).

az keyvault secret set --name "mongodb-connectionstring" --vault-name "${kvname}" --value "${mongodb_connstring}"

3.3 - Opsional: Tambahkan kredensial ReversingLabs

Untuk mengintegrasikan Halo dengan ReversingLabs, tambahkan kredensial ReversingLabs ke Key Vault. Ganti ${reversinglabs_username} dan ${reversinglabs_password} dengan username dan password yang sebenarnya.

az keyvault secret set --name "halo-reversinglabs-username" --vault-name "${kvname}" --value "${reversinglabs_username}"
az keyvault secret set --name "halo-reversinglabs-password" --vault-name "${kvname}" --value "${reversinglabs_password}"

3.4 - Opsional: Tambahkan sertifikat ICAP MTLS

Server ICAP dapat dikonfigurasi untuk autentikasi klien mutual menggunakan sertifikat MTLS.

Sertifikat akan di-mount ke pod server ICAP menggunakan Kubernetes secrets. Tambahkan sertifikat server dan certificate authority ke Key Vault agar dapat disinkronkan ke Kubernetes secrets.

az keyvault secret set --vault-name "${kvname}" --name tls-server-cert -f <path/to/mtls-server-cert.pem>
az keyvault secret set --vault-name "${kvname}" --name tls-server-key -f <path/to/mtls-server-key.pem>
az keyvault secret set --vault-name "${kvname}" --name tls-cafile -f <path/to/mtls-ca-cert.pem>

3.5 - Opsional: Konfigurasikan pemantauan penyimpanan untuk M365

Untuk mengaktifkan integrasi pemantauan penyimpanan M365, Anda perlu menambahkan kredensial pendaftaran aplikasi Microsoft Entra Anda ke Key Vault.

Integrasi ini memerlukan nilai berikut:

Client ID
ID Tenant
Rahasia klien

Gunakan perintah di bawah ini untuk menambahkan rahasia ini ke Key Vault Anda:

az keyvault secret set --name "graphapi-clientid" --vault-name "${kvname}" --value "<client_id>"
az keyvault secret set --name "graphapi-tenantid" --vault-name "${kvname}" --value "<tenant_id>"
az keyvault secret set --name "graphapi-clientsecret" --vault-name "${kvname}" --value "<client_secret>"

Jika Anda belum memiliki nilai-nilai ini, lihat Panduan Penyiapan Storage Monitoring M365 kami untuk instruksi tentang cara mendapatkannya.

Lanjutkan

Butuh bantuan?

String koneksi akun penyimpanan​

3.2A - Opsi database 1 - connection string MongoDB​

Tambahkan kata sandi MongoDB ke Azure Key Vault sebagai secret​

3.2B - Opsi database 2 - string koneksi CosmosDB​

3.3 - Opsional: Tambahkan kredensial ReversingLabs​

3.4 - Opsional: Tambahkan sertifikat ICAP MTLS​

3.5 - Opsional: Konfigurasikan pemantauan penyimpanan untuk M365​