Przejdź do głównej zawartości

Czym jest konto?

Konto to tożsamość, której VaultPAM używa w systemie docelowym. Konto to nie to samo, co poświadczenie, które je odblokowuje. VaultPAM utrzymuje to rozróżnienie w sposób jawny, dzięki czemu możesz rotować poświadczenia, stosować polityki i audytować użycie bez przebudowy całego modelu dostępu.

Konto a poświadczenie

  • Konto: tożsamość logowania w systemie docelowym, taka jak root, Administrator lub nazwane konto usługowe.
  • Poświadczenie: hasło lub klucz, który potwierdza własność tego konta.

To rozdzielenie pozwala zachować stabilność konta przy jednoczesnej zmianie sekretu, który się pod nim kryje.

Poświadczenia statyczne i just-in-time

Niektóre sejfy używają hasła statycznego, które istnieje przez dłuższy czas. Inne korzystają z poświadczeń just-in-time opartych na OpenBao. W modelu JIT VaultPAM żąda sekretu w momencie rozpoczęcia sesji i wstrzykuje go na poziomie proxy. Sekret nigdy nie musi być kopiowany do zarządzanego przez użytkownika schowka.

Jak VaultPAM dostarcza poświadczenie

VaultPAM wiąże konto z sejfem. Gdy członek uruchamia sesję, konektor i proxy obsługują przekazanie poświadczenia. Użytkownik widzi sesję, a nie hasło. Jeśli polityka sejfu blokuje dostęp do schowka, poświadczenie pozostaje całkowicie niewidoczne dla użytkownika.

Ten model zmniejsza ryzyko wycieku sekretów i upraszcza offboarding. Dostęp odbierasz, aktualizując członkostwo w sejfie lub zastępując powiązanie konta, a nie ścigając to samo hasło w kilkunastu systemach.

Powiązane artykuły