Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
25장. Vault를 사용하여 인증 보안 저장
자격 증명 모음은 시크릿 저장, 검색, 공유 및 복구를 위한 안전한 위치입니다. 시크릿은 제한된 사용자 또는 엔터티 그룹에서만 액세스할 수 있어야 하는 보안에 민감한 데이터입니다. 예를 들어 보안에는 다음이 포함됩니다.
- 암호
- 고정
- 개인 SSH 키
사용자와 서비스는 IdM(Identity Management) 도메인에 등록된 모든 시스템에서 자격 증명 모음에 저장된 시크릿에 액세스할 수 있습니다.
참고
Vault는 IdM 웹 UI가 아닌 명령줄에서만 사용할 수 있습니다.
자격 증명 모음 사용 사례는 다음과 같습니다.
- 사용자의 개인 시크릿 저장
- 자세한 내용은 25.4절. “사용자의 개인 시크릿 저장” 을 참조하십시오.
- 서비스 시크릿 저장
- 자세한 내용은 25.5절. “Vault에 서비스 시크릿 저장” 을 참조하십시오.
- 여러 사용자가 사용하는 공통 시크릿 저장
- 자세한 내용은 25.6절. “여러 사용자를 위한 공통 시크릿 저장” 을 참조하십시오.
자격 증명 모음을 사용하려면 25.2절. “Vault 사용 사전 요구 사항” 에 설명된 조건을 충족해야 합니다.
25.1. Vault의 작동 방식
25.1.1. Vault 소유자, 멤버 및 관리자
IdM은 다음 vault 사용자 유형을 구분합니다.
- Vault 소유자
- 자격 증명 모음 소유자는 자격 증명 모음에서 기본 관리 권한이 있는 사용자 또는 서비스입니다. 예를 들어 vault 소유자는 vault의 속성을 수정하거나 새 자격 증명 모음 멤버를 추가할 수 있습니다.각 자격 증명 모음에는 최소한 하나의 소유자가 있어야 합니다. 자격 증명 모음에는 여러 소유자가 있을 수도 있습니다.
- Vault 멤버
- 자격 증명 모음 멤버는 다른 사용자 또는 서비스에서 만든 자격 증명 모음에 액세스할 수 있는 사용자 또는 서비스입니다.
- Vault 관리자
- Vault 관리자는 모든 자격 증명 모음에 대한 무제한 액세스 권한이 있으며 모든 자격 증명 모음 작업을 수행할 수 있습니다.참고대칭 자격 증명 모음은 암호 또는 키로 보호되며 특수 액세스 제어 규칙을 적용합니다( 25.1.2절. “Standard, Symmetric 및 Asymmetric Vaults”참조). 관리자는 다음 규칙을 충족해야 합니다.
- 대칭 및 비대칭 자격 증명 모음의 시크릿 액세스
- vault 암호 또는 키 변경 또는 재설정
자격 증명 모음관리자는 Vault관리자 권한이 있는 모든 사용자입니다. 사용자 권한 정의에 대한 자세한 내용은 10.4절. “역할 기반 액세스 제어 정의” 을 참조하십시오.
특정 소유자 및 멤버 권한은 자격 증명 모음 유형에 따라 다릅니다. 자세한 내용은 25.1.2절. “Standard, Symmetric 및 Asymmetric Vaults” 을 참조하십시오.
Vault 사용자
ipa vault-show 명령과 같은 일부 명령의 출력에는 사용자 자격 증명 모음에 대한
Vault 사용자 도 표시됩니다.
$ ipa vault-show my_vault
Vault name: my_vault
Type: standard
Owner users: user
Vault user: user
vault 사용자는 자격 증명 모음이 있는 컨테이너가 있는 사용자를 나타냅니다. 자격 증명 모음 컨테이너 및 사용자 자격 증명 모음에 대한 자세한 내용은 25.1.4절. “다양한 유형의 Vault 컨테이너” 및 25.1.3절. “사용자, 서비스 및 공유 Vaults” 을 참조하십시오.
25.1.2. Standard, Symmetric 및 Asymmetric Vaults
다음 자격 증명 모음 유형은 보안 및 액세스 제어 수준을 기반으로 합니다.
- 표준 자격 증명 모음
- Vault 소유자 및 vault 멤버는 암호 또는 키를 사용하지 않고도 비밀을 보관하고 검색할 수 있습니다.
- 대칭 자격 증명 모음
- 자격 증명 모음의 시크릿은 대칭 키로 보호됩니다. Vault 멤버 및 자격 증명 모음 소유자는 시크릿을 보관하고 검색할 수 있지만 vault 암호를 제공해야 합니다.
- 비대칭 자격 증명 모음
- 자격 증명 모음의 비밀은 비대칭 키로 보호됩니다. 사용자는 공개 키를 사용하여 비밀을 보관하고 개인 키를 사용하여 검색합니다. Vault 멤버는 비밀만 보관할 수 있지만 vault 소유자는 시크릿을 아카이브하고 검색할 수 있습니다.
25.1.3. 사용자, 서비스 및 공유 Vaults
다음 자격 증명 모음 유형은 소유권을 기반으로 합니다.
- 사용자 자격 증명 모음: 사용자의 개인 자격 증명 모음
- 소유자: 단일 사용자.모든 사용자는 하나 이상의 사용자 자격 증명 모음을 보유할 수 있습니다.
- 서비스 자격 증명 모음: 서비스의 개인 자격 증명 모음
- 소유자: 단일 서비스.모든 서비스는 하나 이상의 서비스 자격 증명 모음을 보유할 수 있습니다.
- 공유 자격 증명 모음
- 소유자: 자격 증명 모음을 생성한 자격 증명 모음 관리자입니다. 다른 자격 증명 모음 관리자는 자격 증명 모음에 대한 전체 액세스 권한도 있습니다.공유 자격 증명 모음은 여러 사용자 또는 서비스에서 사용할 수 있습니다.
25.1.4. 다양한 유형의 Vault 컨테이너
자격 증명 모음 컨테이너는 자격 증명 모음 컬렉션입니다.
IdM은 다음과 같은 기본 자격 증명 모음 컨테이너를 제공합니다.
- 사용자 컨테이너: 사용자의 개인 컨테이너
- 이 컨테이너는 특정 사용자의 사용자 자격 증명 모음을 저장합니다.
- 서비스 컨테이너: 서비스의 개인 컨테이너
- 이 컨테이너는 특정 서비스의 서비스 자격 증명 모음을 저장합니다.
- 공유 컨테이너
- 이 컨테이너 저장소: 여러 사용자 또는 서비스에서 공유할 수 있는 자격 증명 모음입니다.
IdM은 사용자 또는 서비스의 첫 번째 개인 자격 증명 모음이 생성될 때 각 사용자 또는 서비스에 대한 사용자 및 서비스 컨테이너를 자동으로 생성합니다. 사용자 또는 서비스가 삭제되면 IdM은 컨테이너와 해당 콘텐츠를 제거합니다.