Secrets Manager 快速入门
最后更新于
最后更新于
对应的官方文档地址
如果您是开发人员,您可能更喜欢开发人员快速入门。您当前阅读的文章将从管理和设置的角度介绍 Secrets Manager。
Bitwarden Secrets Manager 使开发人员、DevOps 和网络安全团队能够大规模集中存储、管理和部署机密。
Secrets Manager 网页应用程序将是您设置机密管理基础设施的主页。您将使用它来添加和组织机密、创建适合您需要的权限系统,以及生成供您的应用程序使用的访问令牌。完成后,您可以继续阅读开发者快速入门指南,以了解如何将机密注入您的机器和应用程序。
您必须是组织所有者才能启用 Secrets Manager。要开始使用 Secrets Manager:
1、在管理控制台中,导航至您组织的计费 → 订阅页面
2、在来自 Bitwarden 的更多产品部分中,勾选订阅 Secrets Manager 复选框。
激活后,通过网页应用上的产品切换器切换到 Secrets Manager:
在您使用 Secrets Manager 迈出第一步之前,您需要明确邀请一些组织成员加入。
在继续之前,我们建议为 Secrets Manager 的用户设置一个或多个群组。您需要通过成员页面授予成员对 Secrets Manager 的访问权限,但一旦您的密码库被填充,您可以使用群组来大规模地分配对机密的访问权限。
要授予成员对 Secrets Manager 的访问权限,您必须是组织的所有者或者管理员:
1、打开您组织的成员选项卡,然后选中您要授予他们 Secrets Manager 访问权限的成员。
2、使用 ≡ 菜单,选择启用 Secrets Manager 以向选定成员授予访问权限:
向用户(或您自己)授予 Secrets Manager 访问权限后,您可能需要刷新密码库以使 Secrets Manager 出现在产品切换器中。
从您组织的计费 → 订阅页面,您可以为 Secrets Manager 组织分配允许的用户席位和服务账户总数。
添加新用户或机器账户时,Secrets Manager 将自动扩展您的用户席位和机器账户。可以通过勾选限制订阅和限制机器账户复选框来设置限制。
在用户席位字段中,指定的数量必须小于或等于您的 Password Manager 订阅指定的席位数量。
您还可以使用附加机器账户字段,明确添加高于计划预包装数量的机器账户;团队账户为 20 个,企业账户为 50 个。
使用产品切换器打开 Secrets Manager 网页应用程序。如果这是您第一次打开该应用程序,您将看到一个空的密码库,但最终它将充满您的工程和机密:
让我们开始填充您的密码库吧。
工程是按逻辑组合在一起的机密的集合,由您的 DevOps、网络安全或其他内部团队进行访问权限的管理。重要的是要考虑到,在创建工程时,工程将是您分配的成员访问机密的主要机构。要创建一个工程:
1、使用新增下拉菜单选择工程:
2、输入工程名称。
3、选择保存按钮。
将组织成员添加到您的工程将允许这些用户与此工程的机密进行交互。要将人员添加到您的工程:
1、在「新增工程」中,选择人员选项卡。
2、从「人员」下拉列表中,输入或选择要添加到工程的成员或群组。选择了合适的人员后,选择添加按钮:
3、将成员或组添加到工程后,为这些成员或群组设置权限级别。成员和群组可以具有以下权限级别之一:
可以读取:成员/群组将能够查看此工程中的现有机密。
可以读取和写入:成员/群组将能够查看此工程中的现有机密,以及在此工程中创建新的机密。
您的工程中已经有一些成员可以帮助您管理它了,现在让我们向该工程添加一些机密。机密是存储在您的密码库中的敏感键值对,通常是永远不应以纯代码公开或通过未加密通道传输的东西,例如:
API 密钥
应用配置
数据库连接字符串
环境变量
您可以将机密作为 .json
文件直接导入您的密码库或手动添加机密:
现在您已经有了一个填满机密的工程了,是时候开始构建对这些机密的机器访问了。机器账户代表非人类机器用户或一组机器用户,他们需要以编程方式访问存储在您的密码库中的某些机密。机器账户用于:
适当地限制机器用户对一定范围的机密的访问权限。
发布访问令牌以促进对机密的编程访问和解密能力。
要为此工程添加机器账户:
1、使用新增下拉菜单选择机器账户:
2、输入机器账户名称,然后点击保存。
3、打开机器账户,然后在“项目”选项卡中键入或选择该计算机帐户应能够访问的项目的名称。对于每个添加的项目,选择权限级别:
可以读取:机器账户可以从已分配的工程中检索机密。
可以读取和写入:机器账户可以从已分配的工程中检索和编辑机密,以及在已分配的工程中创建新的机密或创建新的工程。
访问令牌有助于以编程方式访问和解密存储在您的密码库中的机密。访问令牌颁发给特定的服务账户,并将赋予应用它们的任何机器仅能访问与该服务账户相关联的机密的能力。要创建访问令牌:
1、从导航中选择机器账户。
2、选择要为其创建访问令牌的机器账户,然后打开访问令牌选项卡:
3、选择创建访问令牌按钮。
4、在「创建访问令牌」面板上,提供以下信息:
令牌的名称。
令牌的到期时间。默认为从不
。
5、完成令牌配置后,选择创建访问令牌按钮。
6、将出现一个显示访问令牌的窗口。关闭此窗口之前请将您的令牌复制到安全的地方,因为您的令牌以后无法获取:
此访问令牌是身份验证工具,通过它您可以编写机密注入脚本到您的机器和应用程序中。
现在您已经掌握了创建用于安全地管理机密的基础设施以及为机器访问机密创建路径的诀窍,让我们继续阅读开发人员快速入门指南。