プロジェクトレベルのSecrets management用にCyberArk Conjurを設定する

このページは機械翻訳により提供されています。翻訳内容と英語版に相違がある場合は、英語版が優先されます。

ワークスペースレベルにスコープ設定された既存の外部シークレット参照は、プロジェクト固有のSecrets managementに切り替えると機能しなくなります。


機能の提供状況

Secrets managementは、特定の料金プランのお客様が利用できます。 詳細については、ご利用の料金プランおよび契約を参照してください。

Workato向けConjurホスト設定

WorkatoとConjurの連携は、ホスト/ワークロードAPIキー認証に基づいています。

WorkatoがConjurインスタンスからシークレットを取得するには、CyberArk Conjurコネクターの設定時に指定されたパラメーターに基づいて、まずAPI認証リクエストがConjurサーバーに送信されます。 認証情報が有効な場合、Conjurは有効期間の短いアクセストークンを返します。 その後、ホストに必要なexecuteおよびread権限がある場合、Workatoはこのアクセストークンを使用して、Conjurに保存されている実際のシークレット値を取得します。

Conjurのポリシーは.ymlファイルとして記述されます。 CyberArk Conjurドキュメントのポリシーのベストプラクティスを参照してください。 次の手順では、ポリシーファイルの作成方法について説明します。

ポリシー構文演算子の詳細については、CyberArk Conjurドキュメントを参照してください。

1

ルートポリシーでグループを宣言します:

yaml
- !policy
  id: workato-app
  body:
    - !group workato-secret-users
2

変数を宣言し、グループに[read, execute]権限を割り当てます。

この例では、SQLデータベースのパスワードとホスト名を保存するsql-password-prod変数とsql-host-prod変数を作成します:

yaml
- &variables
  - !variable
    id: sql-password-prod
    kind: password
  - !variable
    id: sql-host-prod
    kind: password
- !permit
  role: !group /workato-app/workato-secret-users       # group declared earlier
  privileges: [read, execute]
  resources: *variables
3

ホスト、レイヤーを宣言し、ホストのメンバーシップをレイヤーに割り当てます:

yaml
- !host workato-us-prod-1
- !layer workato-us-prod
- !grant
     role: !layer workato-us-prod
     members:
        - !host workato-us-prod-1
4

レイヤーのメンバーシップをグループに付与します:

yaml
- !grant
  role: !group workato-app/workato-secret-users
  member: !layer workato-app/ workato-us-prod
5

Conjurに新しいシークレットを作成します:

yaml
- !variable
  id: ddog-api-key
  kind: password
6

選択した変数に対してグループにexecuteおよびread権限を付与します:

yaml
- !permit
  role: !group /workato-app/workato-secret-users     # layer declared earlier
  privileges: [read, execute]
  resources: !variable ddog-api-key
完全なポリシーの例を展開
yaml
- !policy
  id: workato-app-dev
  body:
    - !group workato-secrets-dev
    - &variables
        - !variable
            id: sql-password-prod
            kind: password
        - !variable
            id: sql-host-prod
            kind: password
    - !permit
        role: !group /workato-app-dev/workato-secrets-dev       # group declared earlier
        privileges: [read, execute]
        resources: *variables
    - !host workato-us-dev-1
    - !layer workato-us-dev
    - !grant
        role: !layer workato-us-dev
        members:
            - !host workato-us-dev-1
    - !grant
        role: !group workato-secrets-dev
        member: !layer workato-us-dev

想定されるレスポンスは次のとおりです:

json
{
    "created_roles": {
        "workato:host:workato-app-dev/workato-us-dev-1": {
            "id": "workato:host:workato-app-dev/workato-us-dev-1",
            "api_key": "1q3ye3gxxxx"
        }
    },
    "version": 1
}

Secrets managementのプロジェクトレベルスコープの選択

1

Workatoワークスペースにサインインします。

2

ワークスペース管理者 > 設定 > セキュリティ > 外部シークレットマネージャーに移動します。

3

Scopeで、Set up secrets management for each project individuallyオプションを選択します。

ワークスペース全体にSecrets managementを設定各プロジェクトにSecrets managementを個別に設定

4

保存を選択します。

プロジェクトを選択

1

Workatoでプロジェクトに移動します。

2

Secrets managementを設定するプロジェクトを選択します。

3

プロジェクトで、ワークスペース管理者 > Settings > External secrets managerに移動します。

4

Which secrets manager do you want to use?フィールドで、CyberArk Conjurを選択します。

プロジェクトのSecrets managementインターフェイス

5

Set up connectionをクリックします

Workatoでのコネクションの設定

1

Workatoで次のフィールドを設定します:

CyberArk Conjurコネクションの設定CyberArk Conjurコネクションの設定

  • コネクション名

  • CyberArk Conjurコネクションに名前を付けます。

  • コネクションタイプ

  • Workatoは、クラウドとオンプレミスの両方のコネクションタイプをサポートしています。 オンプレミスグループを使用する予定の場合は、ドロップダウンから1つ選択します。

  • サーバーURL

  • Conjur Cloudに接続するには、サーバーURLが次の形式に従っている必要があります:

    html
    https://<subdomain>.secretsmgr.cyberark.cloud/api/
  • 組織アカウント名

  • Conjur Cloudに接続するには、conjurを入力します。

  • ログインID

  • ホスト認証では、IDの先頭にhost/を付ける必要があります。例: host/workato-app/workato-user-1

  • APIキー

  • Conjurは、ユーザーリソースの作成時に各ユーザーのAPIキーを生成します。 APIキーの生成の詳細については、CyberArk Conjurのドキュメントを参照してください。

Last updated: