Bước 3 - Tạo secrets trong Secrets Manager

Để bật quyền truy cập của Glasswall Halo vào bucket S3 (s3name) chứa các báo cáo CDR, cần có một người dùng và vai trò iam.

• Tạo một người dùng IAM (external_secrets_iam_user) và gán một vai trò (external_secrets_iam_role) với policy cho phép đọc và ghi trên bucket s3 sẽ lưu trữ các báo cáo CDR. bucket này lẽ ra đã được tạo ở bước điều kiện tiên quyết.

• Tạo Secret AWS_ACCESS_KEY_ID lưu trữ access key id của người dùng iam.

• Tạo Secret AWS_SECRET_ACCESS_KEY lưu trữ secret access key của người dùng iam.

3.1 - Chuỗi kết nối MongoDB​

Để bật Glasswall Halo Policy Management API tạo và quản lý policy trong MongoDB, hãy lưu chuỗi kết nối MongoDB trong AWS Secrets Manager.

• Bạn có thể lấy chuỗi kết nối tương thích DocumentDB MongoDB từ AWS Console, như minh họa trong ví dụ bên dưới.

mongodb://${username}:${password}@${endpoint}:${port}/?ssl=true&ssl_ca_certs=rds->combined-ca-bundle.pem&replicaSet=rs0&readPreference=secondaryPreferred&retryWrites=false

• Nhập chuỗi kết nối của bạn (được tô sáng trong ảnh chụp màn hình) bằng cách thay thế ${mongodb_connstring}, và nhập vùng AWS của bạn bằng cách thay thế ${region} (như bên dưới).

aws secretsmanager create-secret --name "mongodb-connectionstring" --secret-string >"${mongodb_connstring}" --region "${region}"

Thêm mật khẩu MongoDB vào AWS Secret Manager dưới dạng một secret​

Lưu ý: nếu trước đó bạn đã cấu hình và thiết lập MongoDB trong AWS và đã tạo chuỗi kết nối MongoDB như liệt kê ở trên, bạn có thể bỏ qua bước này.

Nếu không, để bật Policy Management API của Glasswall Halo tạo và quản lý các policy trong MongoDB, và Asynchronous API tạo và quản lý các yêu cầu, MongoDB cần được triển khai bằng các Helm chart được liệt kê trong Bước 8.

Hai người dùng sẽ được tạo bởi MongoDB Helm chart và mật khẩu của người dùng tương ứng cần được đặt trong secret của Key Vault.

Dữ liệu nhạy cảm, chẳng hạn như mật khẩu, nên được lưu trong AWS Secrets Manager.

aws secretsmanager create-secret --name "mongodb-cdrp-password" --secret-string "<cdrp-user-password>" --region "${region}"
aws secretsmanager create-secret --name "mongodb-admin-password" --secret-string "<admin-user-password>" --region "${region}"

3.2 - Amazon DocumentDB Certificate Authority (CA)​

Để dịch vụ cdrplatform-policy-API xác thực thành công với MongoDB, dịch vụ này phải tin cậy Amazon DocumentDB Certificate Authority.

• Tạo một secret có tên cdrp-rds-ca-bundle trong Secrets Manager và thêm nội dung của certificate authority do Amazon cung cấp.

3.3 - [Tùy chọn] Thêm thông tin xác thực ReversingLabs​

Để tích hợp Glasswall Halo với ReversingLabs, hãy lưu thông tin xác thực ReversingLabs trong AWS Secrets Manager.

Thay thế $reversinglabs_username và $reversinglabs_password bằng tên người dùng và mật khẩu thực tế.

aws secretsmanager create-secret  --name "halo-reversinglabs-username" --secret-string "${reversinglabs_username}" --region "${region}"
aws secretsmanager create-secret  --name "halo-reversinglabs-password" --secret-string "${reversinglabs_password}" --region "${region}"

3.4 - [Tùy chọn] Thêm chứng chỉ ICAP MTLS​

Máy chủ ICAP có thể được cấu hình để xác thực hai chiều giữa client bằng các chứng chỉ MTLS. Các chứng chỉ sẽ được mount vào các pod máy chủ ICAP bằng Kubernetes secrets.

Thêm chứng chỉ máy chủ và certificate authority vào AWS Secrets Manager để chúng có thể được đồng bộ sang Kubernetes secrets.

aws secretsmanager create-secret --name "tls-server-cert" --region "$region" --secret-string <file://path/to/mtls-server-cert.pem>
aws secretsmanager create-secret --name "tls-server-key" --region "$region" --secret-string <file://path/to/mtls-server-key.pem>
aws secretsmanager create-secret --name "tls-cafile" --region "$region" --secret-string <file://path/to/mtls-ca-cert.pem>