⮐ Bitwarden Help Center个人主页联系我

Secrets Manager 快速入门

对应的官方文档地址

如果您是开发人员,您可能更喜欢开发人员快速入门。您当前阅读的文章将从管理和设置的角度介绍 Secrets Manager。

Bitwarden Secrets Manager 使开发人员、DevOps 和网络安全团队能够大规模集中存储、管理和部署机密。

Secrets Manager 网页应用程序将是您设置机密管理基础设施的主页。您将使用它来添加和组织机密、创建适合您需要的权限系统,以及生成供您的应用程序使用的访问令牌。完成后,您可以继续阅读开发者快速入门指南,以了解如何将机密注入您的机器和应用程序。

激活 Secrets Manager

您必须是组织所有者才能启用 Secrets Manager。要开始使用 Secrets Manager:

1、在管理控制台中,导航至您组织的计费订阅页面

2、在来自 Bitwarden 的更多产品部分中,勾选订阅 Secrets Manager 复选框。

添加 Secrets Manager

激活后,通过网页应用上的产品切换器切换到 Secrets Manager:

产品切换器

在您使用 Secrets Manager 迈出第一步之前,您需要明确邀请一些组织成员加入。

给予成员访问权限

在继续之前,我们建议为 Secrets Manager 的用户设置一个或多个群组。您需要通过成员页面授予成员对 Secrets Manager 的访问权限,但一旦您的密码库被填充,您可以使用群组来大规模地分配对机密的访问权限。

要授予成员对 Secrets Manager 的访问权限,您必须是组织的所有者或者管理员:

1、打开您组织的成员选项卡,然后选中您要授予他们 Secrets Manager 访问权限的成员。

2、使用 菜单,选择启用 Secrets Manager 以向选定成员授予访问权限:

添加 Secrets Manager 用户

向用户(或您自己)授予 Secrets Manager 访问权限后,您可能需要刷新密码库以使 Secrets Manager 出现在产品切换器中。

用户席位和机器账户扩展

从您组织的计费订阅页面,您可以为 Secrets Manager 组织分配允许的用户席位和服务账户总数。

Secrets Manager 用户管理

添加新用户或机器账户时,Secrets Manager 将自动扩展您的用户席位和机器账户。可以通过勾选限制订阅限制机器账户复选框来设置限制。

用户席位字段中,指定的数量必须小于或等于您的 Password Manager 订阅指定的席位数量。

您还可以使用附加机器账户字段,明确添加高于计划预包装数量的机器账户;团队账户为 20 个,企业账户为 50 个。

第一步

您的机密密码库

使用产品切换器打开 Secrets Manager 网页应用程序。如果这是您第一次打开该应用程序,您将看到一个空的密码库,但最终它将充满您的工程和机密:

机密密码库

让我们开始填充您的密码库吧。

新增工程

工程是按逻辑组合在一起的机密的集合,由您的 DevOps、网络安全或其他内部团队进行访问权限的管理。重要的是要考虑到,在创建工程时,工程将是您分配的成员访问机密的主要机构。要创建一个工程:

1、使用新增下拉菜单选择工程

创建一个工程

2、输入工程名称

3、选择保存按钮。

分配成员到工程

将组织成员添加到您的工程将允许这些用户与此工程的机密进行交互。要将人员添加到您的工程:

1、在「新增工程」中,选择人员选项卡。

2、从「人员」下拉列表中,输入或选择要添加到工程的成员或群组。选择了合适的人员后,选择添加按钮:

将人员添加到工程

3、将成员或组添加到工程后,为这些成员或群组设置权限级别。成员和群组可以具有以下权限级别之一:

  • 可以读取:成员/群组将能够查看此工程中的现有机密。

  • 可以读取和写入:成员/群组将能够查看此工程中的现有机密,以及在此工程中创建新的机密。

新增机密

您的工程中已经有一些成员可以帮助您管理它了,现在让我们向该工程添加一些机密。机密是存储在您的密码库中的敏感键值对,通常是永远不应以纯代码公开或通过未加密通道传输的东西,例如:

  • API 密钥

  • 应用配置

  • 数据库连接字符串

  • 环境变量

您可以将机密作为 .json 文件直接导入您的密码库或手动添加机密:

要导入您的机密:

1、查看此文档以帮助正确格式化导入的文件。

2、从左侧导航中选择设置导入数据

3、选择选择文件然后选择要导入的 .json 文件。

新增机器账户

现在您已经有了一个填满机密的工程了,是时候开始构建对这些机密的机器访问了。机器账户代表非人类机器用户或一组机器用户,他们需要以编程方式访问存储在您的密码库中的某些机密。机器账户用于:

  • 适当地限制机器用户对一定范围的机密的访问权限。

  • 发布访问令牌以促进对机密的编程访问和解密能力。

要为此工程添加机器账户:

1、使用新增下拉菜单选择机器账户

新增服务账户

2、输入机器账户名称,然后点击保存

3、打开机器账户,然后在“项目”选项卡中键入或选择该计算机帐户应能够访问的项目的名称。对于每个添加的项目,选择权限级别:

  • 可以读取:机器账户可以从已分配的工程中检索机密。

  • 可以读取和写入:机器账户可以从已分配的工程中检索和编辑机密,以及在已分配的工程中创建新的机密或创建新的工程。

机器账户的写入​​访问权限的充分利用取决于即将发布的 CLI 版本。目前,这只是在 UI 中提供了此选项。请继续关注发行说明以获取更多信息。

创建访问令牌

访问令牌有助于以编程方式访问和解密存储在您的密码库中的机密。访问令牌颁发给特定的服务账户,并将赋予应用它们的任何机器仅能访问与该服务账户相关联的机密的能力。要创建访问令牌:

1、从导航中选择机器账户

2、选择要为其创建访问令牌的机器账户,然后打开访问令牌选项卡:

创建访问令牌

3、选择创建访问令牌按钮。

4、在「创建访问令牌」面板上,提供以下信息:

  • 令牌的名称

  • 令牌的到期时间。默认为从不

5、完成令牌配置后,选择创建访问令牌按钮。

6、将出现一个显示访问令牌的窗口。关闭此窗口之前请将您的令牌复制到安全的地方,因为您的令牌以后无法获取

访问令牌示例

此访问令牌是身份验证工具,通过它您可以编写机密注入脚本到您的机器和应用程序中。

下一步

现在您已经掌握了创建用于安全地管理机密的基础设施以及为机器访问机密创建路径的诀窍,让我们继续阅读开发人员快速入门指南。

上一页入门下一页开发人员快速入门

最后更新于