Secrets Manager 快速入门
对应的官方文档地址
如果您是开发人员,您可能更喜欢开发人员快速入门。您当前阅读的文章将从管理和设置的角度介绍 Secrets Manager。
Bitwarden Secrets Manager 使开发人员、DevOps 和网络安全团队能够大规模集中存储、管理和部署机密。使用 Secrets Manager 网页 App 来添加和组织机密、创建适合您需要的权限系统,以及生成供您的应用程序使用的访问令牌。
设置 Secrets Manager 后,请继续阅读开发者快速入门指南,以了解如何将机密注入您的机器和应用程序。
访问 Secrets Manager
登录 Bitwarden 网页 App,然后从导航菜单的产品切换器中选择 Secrets Manager:
如果您或您的组织还不是 Secrets Manager 的活跃用户,请点击立即尝试:
所有者将被重定向到组织订阅页面的 Secrets Manager 部分。
用户会询问是否要向其组织所有者发送一封电子邮件,请求访问 Bitwarden Secrets Manager。他们可以在发送前编辑电子邮件。
设置 Secrets Manager
将 Secrets Manager 添加到您的组织
只有所有者才能将 Secrets Manager 添加到他们的组织。要开始使用 Secrets Manager:
1、在您组织的管理控制台中,转到计费 → 订阅。
2、在来自 Bitwarden 的更多产品部分中,勾选订阅 Secrets Manager:
3、根据您组织的方案:
如果您使用免费版方案,请选择提交。
如果您使用的是升级版方案,请输入所需的订阅席位数量(最多不超过您的 Password Manager 订阅总数)以及超出方案已包含的总数量(团队版为 20 个,企业版为 50 个)的附加机器账户数量。选择保存。
添加新用户或机器账户时,Secrets Manager 将自动扩展您的用户席位和机器账户。您可以随时转到计费 → 订阅来更改允许的用户席位和机器账户的总数。要设置扩展限制,请选择限制订阅和限制计机器账户:
激活后,从产品切换器打开 Secrets Manager:
给予成员访问权限
在继续之前,我们建议为 Secrets Manager 用户创建群组。用户拥有对 Secrets Manager 的访问权限后,您就可以通过群组快速分配对机密的访问权限。
组织所有者和管理员可以授予对 Secrets Manager 的访问权限。要授予成员访问权限:
1、在您组织的管理控制台中,转到成员。
2、单击 ≡图标,然后选择激活 Secrets Manager:
或者,转到成员 → 成员角色然后选择此用户可以访问 Secrets Manager:
第一步
您的机密密码库
使用产品切换器打开 Secrets Manager 网页 App。如果这是您第一次打开该 App,您将看到一个空的密码库,但最终它将充满您的工程和机密:
让我们开始填充您的密码库吧。
新增工程
工程是按逻辑组合在一起的机密的集合,用于对您的 DevOps、网络安全或其他内部团队进行访问权限的管理。重要的是要考虑到,在创建工程时,工程将是您分配的成员访问机密的主要结构。要创建一个工程:
1、使用新增下拉菜单选择工程:
2、输入工程名称。
3、选择保存按钮。
分配成员到工程
将组织成员添加到您的工程将允许这些用户与此工程的机密进行交互。要将人员添加到您的工程:
1、在「新增工程」中,选择人员选项卡。
2、从「人员」下拉列表中,输入或选择要添加到工程的成员或群组。选择了合适的人员后,选择添加按钮:
3、将成员或组添加到工程后,为这些成员或群组设置权限级别。成员和群组可以具有以下权限级别之一:
可以读取:成员/群组将能够查看此工程中的现有机密。
可以读取和写入:成员/群组将能够查看此工程中的现有机密,以及在此工程中创建新的机密。
新增机密
您的工程中已经有一些成员可以帮助您管理它了,现在让我们向该工程添加一些机密。机密是存储在您的密码库中的敏感键值对,通常是永远不应以纯代码公开或通过未加密通道传输的东西,例如:
API 密钥
应用配置
数据库连接字符串
环境变量
您可以将机密作为 .json 文件直接导入您的密码库或手动添加机密:
要手动添加机密:
1、使用新增下拉菜单选择机密:
2、在「新增机密」窗口的最顶部部分,输入名称和值。可选添加备注。
3、在「工程」部分,输入或选择要与此机密关联的工程。几个关键点:
每一个机密一次只能与一个工程相关联。
只有有权访问该工程的组织成员才能查看或操作此机密。
只有有权访问该工程的服务账户才能创建注入此机密的途径(稍后会详细介绍)。
4、完成后,选择保存按钮。
对要添加到密码库的所有机密,重复此过程。
新增机器账户
现在您已经有了一个填满机密的工程了,是时候开始构建对这些机密的机器访问了。机器账户代表非人类机器用户或一组机器用户,他们需要以编程方式访问存储在您的密码库中的某些机密。机器账户用于:
适当地限制机器用户对一定范围的机密的访问权限。
发布访问令牌以促进对机密的编程访问和解密能力。
要为此工程添加机器账户:
1、使用新增下拉菜单选择机器账户:
2、输入机器账户名称,然后点击保存。
3、打开机器账户,然后在工程选项卡中键入或选择该机器账户具有访问权限的工程名称。对于每个添加的工程,选择一个权限级别:
可以读取:机器账户可以从已分配的工程中检索机密。
可以读取和写入:机器账户可以从已分配的工程中检索和编辑机密,以及在已分配的工程中创建新的机密或创建新的工程。
创建访问令牌
访问令牌有助于以编程方式访问和解密存储在您的密码库中的机密。访问令牌颁发给特定的服务账户,并将赋予应用它们的任何机器仅能访问与该服务账户相关联的机密的能力。要创建访问令牌:
1、从导航中选择机器账户。
2、选择要为其创建访问令牌的机器账户,然后打开访问令牌选项卡:
3、选择创建访问令牌按钮。
4、在「创建访问令牌」面板上,提供以下信息:
令牌的名称。
令牌的到期时间。默认为
从不。
5、完成令牌配置后,选择创建访问令牌按钮。
6、将出现一个显示访问令牌的窗口。关闭此窗口之前请将您的令牌复制到安全的地方,因为您的令牌以后无法获取:
此访问令牌是身份验证工具,通过它您可以编写机密注入脚本到您的机器和应用程序中。
下一步
现在您已经掌握了创建用于安全地管理机密的基础设施以及为机器访问机密创建路径的诀窍,让我们继续阅读开发人员快速入门指南。
或者,了解更多有关 Secrets Manager 的信息:
最后更新于