Rotar una credencial
Las credenciales almacenadas en VaultPAM pueden rotarse manualmente o automáticamente. Después de la rotación, las sesiones activas existentes continúan con la credencial antigua hasta que finalicen; las nuevas sesiones reciben la nueva.
Rotación manual
- Abra Vault → Accounts (o abra el Safe y haga clic en el nombre de la credencial).
- Haga clic en Rotate now.
- Seleccione un método de rotación:
- New random password — VaultPAM genera una y actualiza el destino (requiere un plugin de rotación configurado para el tipo de destino).
- Upload new value — usted pega la nueva contraseña/clave; VaultPAM la cifra y almacena. El destino debe actualizarse fuera de banda.
- Haga clic en Confirm. Se emite un evento de auditoría.
Rotación automática
- En Vault → Accounts, abra la cuenta y cambie a Rotation policy.
- Establezca la cadencia (por ejemplo, cada 30 días) y el método de rotación.
- VaultPAM rotará según el programa. Se activan alertas si una rotación falla.
Rotación JIT (sin contraseña almacenada)
Para destinos que lo admitan (Linux SSH, Postgres, MySQL, etc.), habilite Just-in-Time credentials: VaultPAM solicita a OpenBao que genere una contraseña de corta duración al iniciar la sesión y la revoca al finalizar. No existe ninguna contraseña de larga duración.