ขั้นตอนที่ 3 - สร้าง secrets ใน Secrets Manager
เพื่อเปิดใช้งานการเข้าถึง S3 bucket (s3name) ของ Glasswall Halo ซึ่งมีรายงาน CDR จำเป็นต้องมี iam user และ role
-
สร้าง IAM user (
external_secrets_iam_user) และกำหนด role (external_secrets_iam_role) พร้อม policy ที่อนุญาตให้อ่านและเขียนบน s3 bucket ที่จะใช้จัดเก็บรายงาน CDR bucket นี้ควรถูกสร้างไว้แล้วในขั้นตอน ข้อกำหนดเบื้องต้น -
สร้าง Secret
AWS_ACCESS_KEY_IDที่จัดเก็บ access key id ของ iam user -
สร้าง Secret
AWS_SECRET_ACCESS_KEYที่จัดเก็บ secret access key ของ iam user
3.1 - สตริงการเชื่อมต่อ MongoDB
เพื่อเปิดใช้งาน Glasswall Halo Policy Management API ให้สร้างและจัดการ policies ใน MongoDB ให้จัดเก็บสตริงการเชื่อมต่อ MongoDB ไว้ใน AWS Secrets Manager.
- คุณสามารถดึงสตริงการเชื่อมต่อที่เข้ากันได้กับ DocumentDB MongoDB จาก AWS Console ได้ ดังที่แสดงในตัวอย่างด้านล่าง.
mongodb://${username}:${password}@${endpoint}:${port}/?ssl=true&ssl_ca_certs=rds->combined-ca-bundle.pem&replicaSet=rs0&readPreference=secondaryPreferred&retryWrites=false
- ป้อนสตริงการเชื่อมต่อของคุณ (ที่ไฮไลต์ไว้ในภาพหน้าจอ) โดยแทนที่
${mongodb_connstring}และป้อน AWS region ของคุณโดยแทนที่${region}(ดังด้านล่าง).
aws secretsmanager create-secret --name "mongodb-connectionstring" --secret-string >"${mongodb_connstring}" --region "${region}"
เพิ่มรหัสผ่าน MongoDB ไปยัง AWS Secret Manager เป็น secret
หมายเหตุ: หากคุณได้กำหนดค่าและตั้งค่า MongoDB ภายใน AWS ไว้ก่อนหน้านี้ และได้สร้างสตริงการเชื่อมต่อ MongoDB ตามที่ระบุไว้ข้างต้นแล้ว คุณสามารถข้ามขั้นตอนนี้ได้.
หากยังไม่ได้ดำเนินการ เพื่อให้ Policy Management API ของ Glasswall Halo สามารถสร้างและจัดการ policy ใน MongoDB และเพื่อให้ Asynchronous API สามารถสร้างและจัดการคำขอได้ จำเป็นต้อง deploy MongoDB โดยใช้ Helm charts ที่ระบุไว้ในขั้นตอนที่ 8
ผู้ใช้สองรายจะถูกสร้างโดย MongoDB Helm chart และจำเป็นต้องตั้งรหัสผ่านของผู้ใช้ที่เกี่ยวข้องไว้ใน Key Vault secret.
ข้อมูลที่มีความละเอียดอ่อน เช่น รหัสผ่าน ควรจัดเก็บไว้ใน AWS Secrets Manager.
aws secretsmanager create-secret --name "mongodb-cdrp-password" --secret-string "<cdrp-user-password>" --region "${region}"
aws secretsmanager create-secret --name "mongodb-admin-password" --secret-string "<admin-user-password>" --region "${region}"
3.2 - Amazon DocumentDB Certificate Authority (CA)
เพื่อให้บริการ cdrplatform-policy-API ยืนยันตัวตนกับ MongoDB ได้สำเร็จ บริการนี้ควรเชื่อถือ Amazon DocumentDB Certificate Authority.
- สร้าง secret ชื่อ
cdrp-rds-ca-bundleใน Secrets Manager และเพิ่มเนื้อหาของ certificate authority ที่ Amazon จัดเตรียมไว้.
3.3 - [ทางเลือก] เพิ่มข้อมูลรับรอง ReversingLabs
เพื่อผสานรวม Glasswall Halo กับ ReversingLabs ให้จัดเก็บข้อมูลรับรอง ReversingLabs ไว้ใน AWS Secrets Manager.
แทนที่ $reversinglabs_username และ $reversinglabs_password ด้วยชื่อผู้ใช้และรหัสผ่านจริง.
aws secretsmanager create-secret --name "halo-reversinglabs-username" --secret-string "${reversinglabs_username}" --region "${region}"
aws secretsmanager create-secret --name "halo-reversinglabs-password" --secret-string "${reversinglabs_password}" --region "${region}"
3.4 - [ทางเลือก] เพิ่มใบรับรอง ICAP MTLS
เซิร์ฟเวอร์ ICAP สามารถกำหนดค่าให้ใช้การยืนยันตัวตนแบบสองทางของไคลเอนต์ด้วยใบรับรอง MTLS ได้ ใบรับรองจะถูกเมานต์ไปยัง ICAP server pods โดยใช้ Kubernetes secrets.
เพิ่มใบรับรองเซิร์ฟเวอร์และ certificate authority ไปยัง AWS Secrets Manager เพื่อให้สามารถซิงก์ไปยัง Kubernetes secrets ได้
aws secretsmanager create-secret --name "tls-server-cert" --region "$region" --secret-string <file://path/to/mtls-server-cert.pem>
aws secretsmanager create-secret --name "tls-server-key" --region "$region" --secret-string <file://path/to/mtls-server-key.pem>
aws secretsmanager create-secret --name "tls-cafile" --region "$region" --secret-string <file://path/to/mtls-ca-cert.pem>