Langkah 3 - Cipta secrets dalam Secrets Manager
Untuk membolehkan akses Glasswall Halo kepada bucket S3 (s3name) yang mengandungi laporan CDR, pengguna dan peranan iam diperlukan.
-
Cipta pengguna IAM (
external_secrets_iam_user) dan tetapkan peranan (external_secrets_iam_role) dengan policy yang membenarkan baca dan tulis pada bucket s3 yang akan menyimpan laporan CDR. bucket ini sepatutnya telah dicipta dalam langkah prasyarat. -
Cipta
AWS_ACCESS_KEY_IDSecret yang menyimpan access key id pengguna iam. -
Cipta
AWS_SECRET_ACCESS_KEYSecret yang menyimpan secret access key pengguna iam.
3.1 - Rentetan sambungan MongoDB
Untuk membolehkan Glasswall Halo Policy Management API mencipta dan mengurus policy dalam MongoDB, simpan rentetan sambungan MongoDB dalam AWS Secrets Manager.
- Anda boleh mendapatkan rentetan sambungan serasi DocumentDB MongoDB daripada AWS Console, seperti yang ditunjukkan dalam contoh di bawah.
mongodb://${username}:${password}@${endpoint}:${port}/?ssl=true&ssl_ca_certs=rds->combined-ca-bundle.pem&replicaSet=rs0&readPreference=secondaryPreferred&retryWrites=false
- Masukkan rentetan sambungan anda (diserlahkan dalam tangkapan skrin) dengan menggantikan
${mongodb_connstring}, dan masukkan rantau AWS anda dengan menggantikan${region}(seperti di bawah).
aws secretsmanager create-secret --name "mongodb-connectionstring" --secret-string >"${mongodb_connstring}" --region "${region}"
Tambahkan kata laluan MongoDB ke AWS Secret Manager sebagai secret
Nota: jika anda sebelum ini telah mengkonfigurasi dan menyediakan MongoDB dalam AWS serta telah mencipta rentetan sambungan MongoDB anda seperti yang disenaraikan di atas, anda boleh melangkau langkah ini.
Jika tidak, untuk membolehkan Policy Management API Glasswall Halo mencipta dan mengurus policy dalam MongoDB, dan Asynchronous API mencipta serta mengurus permintaan, MongoDB perlu digunakan menggunakan Helm charts yang disenaraikan dalam Langkah 8.
Dua pengguna akan dicipta oleh carta Helm MongoDB dan kata laluan pengguna yang sepadan perlu ditetapkan dalam secret Key Vault.
Data sensitif, seperti kata laluan, hendaklah disimpan dalam AWS Secrets Manager.
aws secretsmanager create-secret --name "mongodb-cdrp-password" --secret-string "<cdrp-user-password>" --region "${region}"
aws secretsmanager create-secret --name "mongodb-admin-password" --secret-string "<admin-user-password>" --region "${region}"
3.2 - Amazon DocumentDB Certificate Authority (CA)
Agar perkhidmatan cdrplatform-policy-API berjaya mengesahkan kepada MongoDB, ia perlu mempercayai Amazon DocumentDB Certificate Authority.
- Cipta secret bernama
cdrp-rds-ca-bundledalam Secrets Manager dan tambahkan kandungan certificate authority yang disediakan oleh Amazon.
3.3 - [Pilihan] Tambah kelayakan ReversingLabs
Untuk menyepadukan Glasswall Halo dengan ReversingLabs, simpan kelayakan ReversingLabs dalam AWS Secrets Manager.
Gantikan $reversinglabs_username dan $reversinglabs_password dengan nama pengguna dan kata laluan sebenar.
aws secretsmanager create-secret --name "halo-reversinglabs-username" --secret-string "${reversinglabs_username}" --region "${region}"
aws secretsmanager create-secret --name "halo-reversinglabs-password" --secret-string "${reversinglabs_password}" --region "${region}"
3.4 - [Pilihan] Tambah sijil ICAP MTLS
Pelayan ICAP boleh dikonfigurasikan untuk pengesahan klien bersama menggunakan sijil MTLS. Sijil tersebut akan dipasang pada pod pelayan ICAP menggunakan Kubernetes secrets.
Tambah sijil pelayan dan autoriti sijil ke AWS Secrets Manager supaya ia boleh disegerakkan ke Kubernetes secrets.
aws secretsmanager create-secret --name "tls-server-cert" --region "$region" --secret-string <file://path/to/mtls-server-cert.pem>
aws secretsmanager create-secret --name "tls-server-key" --region "$region" --secret-string <file://path/to/mtls-server-key.pem>
aws secretsmanager create-secret --name "tls-cafile" --region "$region" --secret-string <file://path/to/mtls-ca-cert.pem>