Mergeți la conținutul principal

Ce este un cont?

Un cont este identitatea pe care VaultPAM o utilizează pe sistemul țintă. Contul nu este același lucru cu credențiala care îl deblochează. VaultPAM păstrează această distinție explicită pentru a vă permite să rotiți credențialele, să aplicați politici și să auditați utilizarea fără a reconstrui întregul model de acces.

Cont versus credențială

  • Cont: identitatea de autentificare pe țintă, cum ar fi root, Administrator, sau un cont de serviciu numit.
  • Credențială: parola sau cheia care dovedește proprietatea asupra acelui cont.

Această separație vă permite să păstrați contul stabil în timp ce schimbați secretul de dedesubt.

Credențiale statice și just-in-time

Unele Safes utilizează o parolă statică care există pentru o perioadă mai lungă. Altele utilizează credențiale just-in-time susținute de OpenBao. În modelul JIT, VaultPAM solicită secretul când sesiunea se pornește și îl injectează la proxy. Secretul nu trebuie niciodată copiat în clipboard-ul gestionat de utilizator.

Cum VaultPAM livrează credențiala

VaultPAM leagă contul de un Safe. Când un membru lansează o sesiune, conectorul și proxy-ul gestionează transferul credențialei. Utilizatorul vede sesiunea, nu parola. Dacă politica Safe blochează accesul la clipboard, credențiala rămâne complet invizibilă pentru utilizator.

Acest model reduce riscul secretelor scurse și face separarea de servicii mai simplă. Eliminați accesul actualizând apartenența la Safe sau înlocuind legătura contului, nu urmărind aceeași parolă pe o duzină de sisteme.

Articole conexe