Aggiungere un Safe
Un Safe è l'oggetto di accesso in VaultPAM. Collega tre elementi: (1) quale Resource viene accessibile, (2) quale credenziale viene iniettata, (3) chi può utilizzarla e secondo quale policy.
Prima di iniziare
- La Resource che si desidera proteggere è già registrata (Aggiungere la prima resource).
- Si dispone (o si creerà) di una credenziale da iniettare — sia una password statica, una credenziale ruotata JIT da OpenBao, o una coppia di chiavi SSH già archiviata in Vault.
Passaggi
- Aprire Safes → Add Safe dalla barra laterale.
- In Resource, selezionare la destinazione registrata che il Safe proteggerà.
- In Credential, selezionare un Account Binding esistente o crearne uno nuovo:
- Static — VaultPAM archivia la password crittografata.
- JIT-rotated — VaultPAM chiede a OpenBao di generare e ruotare la password all'avvio della sessione.
- SSH key — una chiave pubblica viene inviata alla destinazione; la chiave privata rimane in Vault.
- In Members, selezionare gli utenti o i gruppi che possono utilizzare il Safe. È possibile combinare singoli utenti e gruppi Entra/AD.
- In Policy, selezionare un modello di policy esistente o mantenere i valori predefiniti:
- Approval richiesta / non richiesta.
- Recording attivo / disattivo (predefinito attivo).
- Clipboard consentito / bloccato (predefinito bloccato per le destinazioni privilegiate).
- MFA step-up all'avvio della sessione.
- Rivedere e fare clic su Create Safe.
Il Safe appare immediatamente nell'elenco dei Safes. I membri ricevono una notifica indicante che hanno accesso.