本合作夥伴解決方案可設定彈性、可擴展的 Amazon Web Services (AWS) 雲端環境,並自動將 HashiCorp Vault 啟動為您所選擇的組態。
Vault 使用受信任身分來集中密碼和控制存取,減少對靜態、硬編碼憑證的需求。它使用集中管理和安全的加密金鑰,對傳輸中和靜態的敏感資料進行加密,所有這一切均透過單一工作流程和 API 完成。您可以存取金鑰值存放區,並產生 AWS Identity and Access Management (AWS IAM) 和 AWS Security Token Service (AWS STS) 憑證。
本合作夥伴解決方案包含可自動化部署作業的 AWS CloudFormation 範本,以及提供逐步部署的指南,可協助您的 HashiCorp Vault 實作發揮最大效益。
-
您將建置的項目
-
部署方式
-
成本和授權
-
您將建置的項目
-
使用此合作夥伴解決方案,在 AWS 上設定下列 HashiCorp Vault 環境:
- 跨三個可用區域,具有公有及私有子網路的虛擬私有雲端 (VPC)。
- 可供存取網際網路的網際網路閘道。*
- 假設提供的託管區域 ID 和 DNS 名稱與 Application Load Balancer 關聯,則為 AWS Certificate Manager (ACM) Secure Sockets Layer (SSL) 憑證。
- Application Load Balancer 可面向內部或外部。
- 在公有子網路中:
- 受管網路位址轉譯 (NAT) 閘道,允許對資源進行對外網際網路存取。
- Linux 堡疊主機,允許在私有子網路中傳入安全殼層 (SSH) 存取至 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。
- 在私有子網路中:
- Auto Scaling 群組,在三個可用區域中包含三個、五個或七個 HashiCorp Vault 伺服器執行個體。
- AWS Secrets Manager 機密,其中包含在 HashiCorp Vault 叢集初始化期間建立的根字符和解除密封金鑰。
- AWS Key Management Service (KMS) 金鑰,用於自動解除密封 HashiCorp Vault,以及加密 AWS Secrets Manager 機密。
* 可將合作夥伴解決方案部署至現有 VPC 的範本,會略過標有星號的元件,並提示您輸入現有的 VPC 組態。
-
部署方式
-
若要在 AWS 上建立 HashiCorp Vault 叢集,請依照部署指南中的說明操作。每次部署大約需要 20 分鐘,包括以下步驟:
- 如果您尚未擁有 AWS 帳戶,請到 https://aws.amazon.com 註冊並登入您的帳戶。
- 訂閱 Center for Internet Security (CIS) Ubuntu Linux 16.04 – 第 1 級。
- 啟動合作夥伴解決方案。您有兩個選項可供選擇:
- 審查稽核日誌。
- 測試部署。
- 開始使用 HashiCorp Vault。
Amazon 可能會與 AWS 合作夥伴 (與 AWS 在此解決方案上協作的合作夥伴) 分享使用者部署資訊。
- 如果您尚未擁有 AWS 帳戶,請到 https://aws.amazon.com 註冊並登入您的帳戶。
-
成本和授權
-
執行此合作夥伴解決方案參考部署時,所使用 AWS 服務的費用由您自行負擔。使用此合作夥伴解決方案無須額外付費。
此合作夥伴解決方案的 AWS CloudFormation 範本包含可以自訂的組態參數。其中某些設定 (例如執行個體類型) 會影響到部署的成本。若要估算成本,請參閱您所使用每項 AWS 服務的定價頁面。
本合作夥伴解決方案使用開放原始碼版本的 HashiCorp Vault,不需授權。