Referenzbereitstellung

HashiCorp Vault auf AWS

Eine einheitliche Schnittstelle zur Verwaltung und Verschlüsselung von Geheimnissen

Bereitstellungsanleitung anzeigen

Diese Partnerlösung richtet eine flexible, skalierbare Amazon Web Services (AWS) Cloud-Umgebung ein und startet HashiCorp Vault automatisch in der Konfiguration Ihrer Wahl.

Vault verringert den Bedarf an statischen, fest kodierten Anmeldeinformationen, indem vertrauenswürdige Identitäten zur Zentralisierung von Passwörtern und zur Zugangskontrolle verwendet werden. Es verschlüsselt sensible Daten sowohl während der Übertragung als auch im Ruhezustand mit zentral verwalteten und gesicherten Verschlüsselungsschlüsseln, und zwar über einen einzigen Workflow und eine einzige API. Sie können auf einen Schlüsselwertspeicher zugreifen und Berechtigungsnachweise für AWS Identity and Access Management (IAM) und AWS Security Token Service (AWS STS) generieren.

Diese Partnerlösung umfasst AWS CloudFormation-Vorlagen, die die Bereitstellung automatisieren, sowie einen Leitfaden mit Schritt-für-Schritt-Anweisungen, die Ihnen helfen, das Beste aus Ihrer HashiCorp Vault-Implementierung herauszuholen.

Diese Partnerlösung wurde von HashiCorp Inc. in Zusammenarbeit mit AWS entwickelt. HashiCorp ist ein
AWS-Partner.

Partner kontaktieren
  •  Ihre Möglichkeiten

  • Benutzen Sie diese Partnerlösung, um die folgende HashiCorp Vault-Umgebung auf AWS einzurichten:

    • Eine Virtual Private Cloud (VPC) mit öffentlichen und privaten Subnetzen über drei Availability Zones hinweg.
    • Ein Internet-Gateway für den Zugang zum Internet.*
    • Ein Zertifikat vom AWS Certificate Manager (ACM) Secure Sockets Layer (SSL), unter der Annahme, dass die bereitgestellte Hosted-Zone-ID und der DNS-Name mit dem Application Load Balancer verknüpft sind.
    • Ein Application Load Balancer, der entweder nach innen oder nach außen gerichtet sein kann.
    • In den öffentlichen Subnetzen:
      • Verwaltete Network Address Translation (NAT)-Gateways ermöglichen den ausgehenden Internetzugriff für Ressourcen.
      • Ein Linux-Bastion-Host ermöglicht den eingehenden Secure Shell (SSH)-Zugriff auf Amazon Elastic Compute Cloud (Amazon EC2)-Instances in den privaten Subnetzen.
    • In den privaten Subnetzen:
      • Gruppen mit Auto Scaling, die drei, fünf oder sieben HashiCorp Vault-Server-Instances in drei Availability Zones enthalten.
    • Ein AWS Secrets Manager-Geheimnis, das das Root-Token und die Entsiegelungsschlüssel enthält, die während der HashiCorp Vault Cluster-Initialisierung erstellt wurden.
    • Ein AWS Key Management Service (AWS KMS)-Schlüssel, der zur automatischen Entsiegelung von HashiCorp Vault sowie zur Verschlüsselung des AWS Secrets Manager-Geheimnisses verwendet wird.

    * Die Vorlage, die Partnerlösung in einer bestehenden VPC einrichtet, sorgt dafür, dass die mit Sternchen gekennzeichneten Vorgänge übersprungen werden, und fordert Sie zur Eingabe Ihrer bestehenden VPC-Konfiguration auf.

    Quick Start-Architektur für HashiCorp Vault in der AWS Cloud
  •  Bereitstellungsanleitung

  • Folgen Sie zur Entwicklung Ihres HashiCorp Vault-Clusters auf AWS den Anweisungen im Bereitstellungshandbuch. Jede Bereitstellung dauert etwa 20 Minuten und umfasst die folgenden Schritte:

    1. Wenn Sie noch kein AWS-Konto haben, registrieren Sie sich unter https://aws.amazon.com und melden Sie sich bei Ihrem Konto an.
    2. Abonnieren Sie das Center for Internet Security (CIS) Ubuntu Linux 16.04 – Level 1.
    3. Starten Sie die Partnerlösung. Sie können zwischen Optionen wählen:
    4. Überprüfen Sie die Prüfungsprotokolle.
    5. Testen Sie die Bereitstellung.
    6. Beginnen Sie mit HashiCorp Vault.

    Amazon kann Informationen zur Benutzerbereitstellung an den AWS-Partner weitergeben, der mit AWS an dieser Lösung zusammengearbeitet hat.  

    Im Bereitstellungshandbuch finden Sie weitere Details dazu
  •  Kosten und Lizenzen

  • Für die Kosten der zur Ausführung dieser Partnerlösungs-Referenzbereitstellung erforderlichen AWS-Services sind Sie selbst verantwortlich. Die Verwendung der Partnerlösung ist mit keinen zusätzlichen Kosten verbunden.

    Die AWS-CloudFormation-Vorlage für diese Partnerlösung enthält Konfigurationsparameter, die Sie anpassen können. Einige dieser Einstellungen, beispielsweise der Instance-Typ, wirken sich auf die Bereitstellungskosten aus. Kostenvoranschläge finden Sie auf den Preisseiten der einzelnen AWS-Services, die Sie nutzen.

    Diese Partnerlösung benutzt die Open-Source-Version von HashiCorp Vault, für die keine Lizenz erforderlich ist.