Langkah 3 - Buat secret di Secrets Manager

Untuk mengaktifkan akses Glasswall Halo ke bucket S3 (s3name) yang berisi laporan CDR, diperlukan pengguna iam dan role.

• Buat pengguna IAM (external_secrets_iam_user) dan tetapkan role (external_secrets_iam_role) dengan policy yang mengizinkan baca dan tulis pada bucket s3 yang akan menyimpan laporan CDR. bucket ini seharusnya telah dibuat pada langkah prasyarat.

• Buat Secret AWS_ACCESS_KEY_ID yang menyimpan access key id pengguna iam.

• Buat Secret AWS_SECRET_ACCESS_KEY yang menyimpan secret access key pengguna iam.

3.1 - String koneksi MongoDB​

Untuk mengaktifkan Glasswall Halo Policy Management API agar dapat membuat dan mengelola policy di MongoDB, simpan string koneksi MongoDB di AWS Secrets Manager.

• Anda dapat mengambil string koneksi yang kompatibel dengan DocumentDB MongoDB dari AWS Console, seperti ditunjukkan pada contoh di bawah ini.

mongodb://${username}:${password}@${endpoint}:${port}/?ssl=true&ssl_ca_certs=rds->combined-ca-bundle.pem&replicaSet=rs0&readPreference=secondaryPreferred&retryWrites=false

• Masukkan string koneksi Anda (yang disorot pada tangkapan layar) dengan mengganti ${mongodb_connstring}, dan masukkan region AWS Anda dengan mengganti ${region} (seperti di bawah ini).

aws secretsmanager create-secret --name "mongodb-connectionstring" --secret-string >"${mongodb_connstring}" --region "${region}"

Tambahkan kata sandi MongoDB ke AWS Secret Manager sebagai secret​

Catatan: jika Anda sebelumnya telah mengonfigurasi dan menyiapkan MongoDB di AWS serta telah membuat string koneksi MongoDB seperti yang tercantum di atas, Anda dapat melewati langkah ini.

Jika belum, untuk mengaktifkan Policy Management API Glasswall Halo agar dapat membuat dan mengelola policy di MongoDB, serta Asynchronous API untuk membuat dan mengelola request, MongoDB perlu di-deploy menggunakan Helm chart yang tercantum pada Langkah 8.

Dua pengguna akan dibuat oleh MongoDB Helm chart dan kata sandi pengguna yang sesuai perlu ditetapkan dalam secret Key Vault.

Data sensitif, seperti kata sandi, harus disimpan di AWS Secrets Manager.

aws secretsmanager create-secret --name "mongodb-cdrp-password" --secret-string "<cdrp-user-password>" --region "${region}"
aws secretsmanager create-secret --name "mongodb-admin-password" --secret-string "<admin-user-password>" --region "${region}"

3.2 - Amazon DocumentDB Certificate Authority (CA)​

Agar layanan cdrplatform-policy-API berhasil melakukan autentikasi ke MongoDB, layanan tersebut harus mempercayai Amazon DocumentDB Certificate Authority.

• Buat secret bernama cdrp-rds-ca-bundle di Secrets Manager dan tambahkan konten dari certificate authority yang disediakan oleh Amazon.

3.3 - [Opsional] Tambahkan kredensial ReversingLabs​

Untuk mengintegrasikan Glasswall Halo dengan ReversingLabs, simpan kredensial ReversingLabs di AWS Secrets Manager.

Ganti $reversinglabs_username dan $reversinglabs_password dengan nama pengguna dan kata sandi yang sebenarnya.

aws secretsmanager create-secret  --name "halo-reversinglabs-username" --secret-string "${reversinglabs_username}" --region "${region}"
aws secretsmanager create-secret  --name "halo-reversinglabs-password" --secret-string "${reversinglabs_password}" --region "${region}"

3.4 - [Opsional] Tambahkan sertifikat ICAP MTLS​

Server ICAP dapat dikonfigurasi untuk autentikasi klien mutual menggunakan sertifikat MTLS. Sertifikat akan di-mount ke pod server ICAP menggunakan secret Kubernetes.

Tambahkan sertifikat server dan certificate authority ke AWS Secrets Manager agar dapat disinkronkan ke secret Kubernetes.

aws secretsmanager create-secret --name "tls-server-cert" --region "$region" --secret-string <file://path/to/mtls-server-cert.pem>
aws secretsmanager create-secret --name "tls-server-key" --region "$region" --secret-string <file://path/to/mtls-server-key.pem>
aws secretsmanager create-secret --name "tls-cafile" --region "$region" --secret-string <file://path/to/mtls-ca-cert.pem>