Acceso a OpenBao
VaultPAM utiliza OpenBao (el bifurcación de código abierto de HashiCorp Vault) como su motor de secretos subyacente. Este artículo explica qué es OpenBao, cómo lo utiliza VaultPAM y cuándo los administradores locales podrían necesitar interactuar con él directamente.
Qué es OpenBao
OpenBao es una plataforma de gestión de secretos de código abierto. VaultPAM la utiliza para cifrar y almacenar todas las credenciales privilegiadas (contraseñas, claves SSH, tokens de API) en un backend seguro y auditable.
En la operación normal, nunca interactúa con OpenBao directamente. VaultPAM proporciona una abstracción de nivel de consola: usted gestiona Safes y credenciales a través de la interfaz de usuario, y VaultPAM se comunica con OpenBao en su nombre.
Cómo VaultPAM utiliza OpenBao
- Implementaciones SaaS: OpenBao es administrado completamente por la plataforma VaultPAM. No tiene acceso directo a él.
- Implementaciones locales: OpenBao se ejecuta como parte de su stack de implementación. Es inicializado y desbloqueado automáticamente por el instalador de VaultPAM. En circunstancias normales, no necesita interactuar con él directamente.
Cuándo interactuaría con OpenBao directamente
Los administradores locales pueden necesitar acceder a OpenBao directamente en escenarios avanzados:
- Recuperación ante desastres: si el plano de control de VaultPAM falla y necesita recuperar secretos sin procesar
- Rotación de claves: rotación de la clave raíz de OpenBao o de tránsito como parte de una auditoría de seguridad
- Depuración: diagnóstico de un problema en la capa de credenciales bajo la orientación del soporte de VaultPAM
Antes de acceder a OpenBao directamente, contacte con support@vaultpam.com para confirmar el procedimiento y evitar la pérdida de datos.
Cualquier acción realizada directamente contra la API de OpenBao -- lectura, escritura o eliminación de secretos -- omite el registro de auditoría de VaultPAM. Esto significa que esas acciones no se registran en el registro de auditoría de VaultPAM y no pueden atribuirse a un usuario de VaultPAM.
Siempre utilice la interfaz de VaultPAM para el acceso privilegiado. Reserve el acceso directo a OpenBao solo para la recuperación de emergencias.
Datos de OpenBao y copias de seguridad
Los datos de OpenBao se incluyen en la copia de seguridad estándar de VaultPAM. Para SaaS, esto se gestiona automáticamente. Para implementaciones locales, la copia de seguridad de PostgreSQL cubre el backend de almacenamiento de OpenBao. Consulte Copia de seguridad y recuperación para obtener más detalles.