Saltar al contenido principal

¿Qué es una cuenta?

Una cuenta es la identidad que VaultPAM utiliza en el sistema de destino. La cuenta no es lo mismo que la credencial que la desbloquea. VaultPAM mantiene esa distinción explícita para que pueda rotar credenciales, aplicar políticas y auditar el uso sin reconstruir todo el modelo de acceso.

Cuenta versus credencial

  • Cuenta: la identidad de inicio de sesión en el destino, como root, Administrator o una cuenta de servicio nombrada.
  • Credencial: la contraseña o clave que prueba la propiedad de esa cuenta.

Esa separación le permite mantener la cuenta estable mientras cambia el secreto que la respalda.

Credenciales estáticas y just-in-time

Algunos Safes utilizan una contraseña estática que existe durante un período más largo. Otros utilizan credenciales just-in-time respaldadas por OpenBao. En el modelo JIT, VaultPAM solicita el secreto cuando la sesión comienza e inyecta la credencial en el proxy. El secreto nunca necesita ser copiado en un portapapeles administrado por el usuario.

Cómo VaultPAM entrega la credencial

VaultPAM vincula la cuenta a un Safe. Cuando un miembro inicia una sesión, el Connector y el proxy manejan el traspaso de credenciales. El usuario ve la sesión, no la contraseña. Si la política del Safe bloquea el acceso al portapapeles, la credencial permanece completamente invisible para el usuario.

Ese modelo reduce el riesgo de fugas de secretos y simplifica la desvinculación. Usted elimina el acceso actualizando la membresía del Safe o reemplazando la vinculación de la cuenta, no persiguiendo la misma contraseña en una docena de sistemas.

Artículos relacionados