本合作伙伴解决方案可设置一种灵活且可扩展的 Amazon Web Services (AWS) Cloud 环境,并能自动将 HashiCorp Vault 启动到您选择的配置中。
Vault 使用受信任的身份集中密码和控制访问权限,以此减少对静态、硬编码凭证的需求。它使用集中托管和受保护的加密密钥来动态和静态加密敏感数据,所有一切均可通过单个工作流和 API 实现。您可以访问键值存储并生成 AWS Identity and Access Management (IAM) 和 AWS Security Token Service (AWS STS) 凭证。
本合作伙伴解决方案包括用于自动执行部署的 AWS CloudFormation 模板以及一份指南,该指南中提供了分步说明,可帮助您充分利用 HashiCorp Vault 实施。
-
构建内容
-
如何部署
-
费用和许可证
-
构建内容
-
使用此合作伙伴解决方案在 AWS 上设置以下 HashiCorp Vault 环境:
- 一个具有跨三个可用区的公有子网和私有子网的虚拟私有云(VPC)。
- 一个提供互联网访问权限的互联网网关。*
- AWS Certificate Manager (ACM) 安全套接字层 (SSL) 中的证书假定提供的托管区域 ID 和 DNS 名称与 Application Load Balancer 关联。
- 面向内部或外部的 Application Load Balancer。
- 在公共子网中:
- 允许对资源进行出站互联网访问的托管网络地址转换 (NAT) 网关。
- Linux 堡垒主机,允许对私有子网中的 Amazon Elastic Compute Cloud (Amazon EC2) 实例进行入站安全 Shell (SSH) 访问。
- 在私有子网中:
- Auto Scaling 组,其中包含三个可用区中的三个、五个或七个 HashiCorp Vault 服务器实例。
- AWS Secrets Manager 密钥,其中包含在 HashiCorp Vault 集群初始化过程中创建的根令牌和解封密钥。
- AWS Key Management Service (AWS KMS) 密钥,用于自动解封 HashiCorp Vault 和解密 AWS Secrets Manager 密钥。
* 将此合作伙伴解决方案部署到现有 VPC 中的模板会跳过标有星号的组件,并提示您使用现有 VPC 配置。
-
如何部署
-
要在 AWS 上构建 HashiCorp Vault 集群,请遵循部署指南中的说明操作。每个部署过程大约需要 20 分钟,包括以下步骤:
- 如果您还没有 AWS 账户,请在 https://aws.amazon.com 上注册,并登录您的账户。
- 订阅互联网安全中心 (CIS) Ubuntu Linux 16.04 — 1 级。
- 启动合作伙伴解决方案。有以下两种方案可供选择:
- 查看审核日志。
- 测试部署。
- HashiCorp Vault 入门。
Amazon 可能会跟与 AWS 合作打造此解决方案的 AWS 合作伙伴共享用户部署信息。
- 如果您还没有 AWS 账户,请在 https://aws.amazon.com 上注册,并登录您的账户。
-
费用和许可证
-
您需要支付在运行此合作伙伴解决方案的参考部署期间使用 AWS 服务所产生的费用。使用本合作伙伴解决方案无需额外付费。
本合作伙伴解决方案的 AWS CloudFormation 模板包括可自定义的配置参数。其中一些设置(如实例类型)会影响部署成本。有关成本估算信息,请参阅您使用的每种 AWS 服务的定价页面。
本合作伙伴解决方案使用 HashiCorp Vault 的开源版本,该版本不需要许可证。