6장. 서비스 계정 암호 순환

정기적으로 서비스 계정 암호를 순환하여 보안 포스처를 개선할 수 있습니다.

6.1. 오버클라우드 암호 관리 개요

Overcloud에서 실행되는 OpenStack 서비스는 ID 서비스(keystone) 자격 증명에 의해 인증됩니다. 이러한 암호는 초기 배포 프로세스 중에 생성되며 heat 매개 변수로 정의됩니다. 예를 들면 다음과 같습니다. 

            'MistralPassword',
            'BarbicanPassword',
            'AdminPassword',
            'CeilometerMeteringSecret',
            'ZaqarPassword',
            'NovaPassword',
            'MysqlRootPassword'

워크플로 서비스(mistral) 워크플로를 사용하여 서비스 계정에서 사용하는 암호를 회전할 수 있습니다. 그러나 KEK(키 암호화 키) 및 Fernet 키와 같은 DO_NOT_ROTATE 에 나열된 경우 암호가 순환되지 않습니다. 

DO_NOT_ROTATE_LIST = (
    'BarbicanSimpleCryptoKek',
    'SnmpdReadonlyUserPassword',
    'KeystoneCredential0',
    'KeystoneCredential1',
    'KeystoneFernetKey0',
    'KeystoneFernetKey1',
    'KeystoneFernetKeys',
)

이러한 암호는 다음과 같은 이유로 DO_NOT_ROTATE 목록에 있습니다.

  • BarbicanSimpleCryptoKek - 이 암호를 변경하려면 모든 비밀을 다시 암호화해야 합니다.
  • KeystoneFernetKeyKeystoneCredential - 이를 교체하기 위해 별도의 워크플로가 이미 존재합니다. 자세한 내용은 워크플로 서비스를 사용하여 Fernet 키 순환을 참조하십시오.