Accès à OpenBao
VaultPAM utilise OpenBao (le fork open source de HashiCorp Vault) comme moteur de secrets sous-jacent. Cet article explique ce qu'est OpenBao, comment VaultPAM l'utilise et dans quels cas les administrateurs sur site (on-premises) peuvent avoir besoin d'interagir directement avec lui.
Qu'est-ce qu'OpenBao
OpenBao est une plateforme open source de gestion des secrets. VaultPAM l'utilise pour chiffrer et stocker l'ensemble des identifiants à privilèges (mots de passe, clés SSH, jetons d'API) dans un backend sécurisé et auditable.
En fonctionnement normal, vous n'interagissez jamais directement avec OpenBao. VaultPAM fournit une abstraction au niveau de la console : vous gérez les coffres-forts et les identifiants via l'interface, et VaultPAM communique avec OpenBao en votre nom.
Comment VaultPAM utilise OpenBao
- Déploiements SaaS : OpenBao est entièrement géré par la plateforme VaultPAM. Vous n'y avez aucun accès direct.
- Déploiements sur site (on-premises) : OpenBao s'exécute au sein de votre pile de déploiement. Il est initialisé et descellé automatiquement par l'installateur VaultPAM. En temps normal, vous n'avez pas besoin d'interagir directement avec lui.
Quand interagir directement avec OpenBao
Les administrateurs sur site (on-premises) peuvent avoir besoin d'accéder directement à OpenBao dans des scénarios avancés :
- Reprise après sinistre : si le control-plane de VaultPAM tombe en panne et que vous devez récupérer des secrets bruts
- Rotation des clés : faire pivoter la clé racine ou la clé de transit d'OpenBao dans le cadre d'un audit de sécurité
- Débogage : diagnostiquer un problème au niveau de la couche des identifiants sous la supervision du support VaultPAM
Avant d'accéder directement à OpenBao, contactez support@vaultpam.com pour confirmer la procédure et éviter toute perte de données.
Toute action effectuée directement sur l'API d'OpenBao -- lecture, écriture ou suppression de secrets -- contourne la piste d'audit de VaultPAM. Cela signifie que ces actions ne sont pas enregistrées dans le journal d'audit de VaultPAM et ne peuvent pas être attribuées à un utilisateur VaultPAM.
Utilisez toujours l'interface de VaultPAM pour l'accès à privilèges. Réservez l'accès direct à OpenBao aux seules récupérations d'urgence.
Données et sauvegardes d'OpenBao
Les données d'OpenBao sont incluses dans la sauvegarde VaultPAM standard. Pour le SaaS, cela est géré automatiquement. Pour le déploiement sur site (on-premises), la sauvegarde PostgreSQL couvre le backend de stockage d'OpenBao. Consultez Sauvegarde et récupération pour plus de détails.