implantação de referência
HashiCorp Vault na AWS
Uma interface unificada para gerenciar e criptografar segredos
Esta solução de parceiros configura um ambiente de nuvem da Amazon Web Services (AWS) flexível e escalável e inicia automaticamente o HashiCorp Vault em uma configuração à sua escolha.
O Vault reduz a necessidade de credenciais estáticas inseridas no código usando identidades confiáveis para centralizar senhas e controlar o acesso. Ele criptografa dados confidenciais em trânsito e em repouso usando chaves de criptografia gerenciadas e protegidas de maneira centralizada, tudo por meio de um único fluxo de trabalho e uma única API. Você pode acessar um armazenamento de chave-valor e gerar credenciais do AWS Identity and Access Management (IAM) e do AWS Security Token Service (AWS STS).
Esta solução de parceiros inclui os modelos do AWS CloudFormation que automatizam a implantação e um guia que fornece instruções detalhadas para ajudar a aproveitar ao máximo a implantação do HashiCorp Vault.
A solução de parceiros foi desenvolvida pela HashiCorp, Inc. em parceria com a AWS. A HashiCorp é
Parceiro da AWS.
-
O que você criará
-
Como implantar
-
Custos e licenças
-
O que você criará
-
Use esta solução de parceiros para configurar o seguinte ambiente do HashiCorp Vault na AWS:
- Uma nuvem privada virtual (VPC) com sub-redes públicas e privadas em três Zonas de Disponibilidade.
- Um gateway da Internet para fornecer acesso à Internet.*
- Um certificado de Secure Sockets Layer (SSL) do AWS Certificate Manager (ACM), considerando que o ID e o nome DNS fornecidos para a zona hospedada estão associados ao Application Load Balancer.
- Um Application Load Balancer que pode ser interno ou externo.
- Nas sub-redes públicas:
- Gateways gerenciados de Network Address Translation (NAT – Conversão de endereço de rede) para permitir o acesso de saída à Internet para recursos.
- Um bastion host Linux para permitir acesso de entrada do SSH (Secure Shell) a instâncias do Amazon Elastic Compute Cloud (Amazon EC2) nas sub-redes privadas.
- Nas sub-redes privadas:
- Grupos de Auto Scaling que contêm três, cinco ou sete instâncias de servidor do HashiCorp Vault nas três zonas de disponibilidade.
- Um segredo do AWS Secrets manager contendo o token raiz e chaves de desbloqueio criadas durante a inicialização do cluster do HashiCorp Vault.
- Uma chave do AWS Key Management Service (AWS KMS) que é usada para desbloquear o HashiCorp Vault automaticamente e para criptografar o segredo do AWS Secrets Manager.
* O modelo que implanta a solução de parceiro em uma VPC existente ignora os componentes marcados com asteriscos e solicita a configuração dessa VPC existente.
-
Como implantar
-
Para criar um cluster do HashiCorp Vault na AWS, siga as instruções do guia de implantação. Cada implantação leva aproximadamente 20 minutos e inclui as seguintes etapas:
- Caso ainda não tenha uma conta da AWS, cadastre-se em https://aws.amazon.com e acesse sua conta.
- Inscreva-se no Center for Internet Security (CIS) Ubuntu Linux 16.04 | Level 1.
- Execute a solução de parceiro. Você pode escolher entre duas opções:
- Analise os logs de auditoria.
- Teste a implantação.
- Comece a usar o HashiCorp Vault.
A Amazon pode compartilhar informações sobre implantações de usuários com o parceiro da AWS que colaborou com a AWS nesta solução.
- Caso ainda não tenha uma conta da AWS, cadastre-se em https://aws.amazon.com e acesse sua conta.
-
Custos e licenças
-
Você é responsável pelo custo dos serviços da AWS usados durante esta implantação de referência da solução de parceiro. Não há custos adicionais pelo uso da solução de parceiro.
O modelo do AWS CloudFormation para esta solução de parceiro inclui parâmetros de configuração personalizáveis. Algumas dessas configurações, como o tipo de instância, afetam os custos de implantação. Para obter estimativas de custo, consulte as páginas de preço de cada serviço da AWS que você utiliza.
Esta solução de parceiro usa a versão de código aberto do HashiCorp Vault, que não requer uma licença.
