AWS Secretos de Blu Age Runtime - AWS Modernización de mainframe

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Secretos de Blu Age Runtime

Algunas de las configuraciones de recursos que contienen credenciales se pueden proteger aún más mediante el uso de secretos de AWS . La idea es almacenar los datos críticos en un AWS lugar secreto y tener una referencia al secreto en la YAML configuración para que el contenido secreto se recoja al instante al iniciar Apache Tomcat.

Secretos de Aurora

La configuración de la base de datos Aurora (para JICS Blusam, base de datos de clientes, etc.) utilizará el secreto de base de datos integrado, que rellenará automáticamente todos los campos relevantes de la base de datos correspondiente.

nota

La clave dbname es opcional y, según la configuración de la base de datos, se incluirá en el secreto o no. Puede añadirlo allí manualmente o proporcionando el nombre del archivo. YAML

Otros secretos

Hay otros secretos para los recursos que tienen una sola contraseña (en particular, las cachés de Redis protegidas con contraseña). En este caso, se debe utilizar el otro tipo de secreto.

YAMLreferencias a secretos

application-main.ymlPueden hacer referencia al secreto ARN para varios recursos:

JICSbase de datos

JICScredenciales de base de datos con spring.aws.jics.db.secret

spring: aws: jics: db: dbname: jics secret: arn:aws:secretsmanager:XXXX

Claves secretas JICS de bases de datos compatibles:

Clave secreta Descripción de la clave secreta
host El nombre del host
port ¿El puerto
dbname El nombre de la base de datos
username El nombre de usuario
password La contraseña
engine Motor de base de datos: Postgres, Oracle, Db2, Microsoft Server SQL
currentSchema Esquema específico a utilizar (solo compatible con Db2)
sslConnection Si se debe utilizar la SSL conexión (solo compatible con Db2)
sslTrustStoreUbicación La ubicación del almacén de confianza en el cliente (solo compatible con Db2)
sslTrustStoreContraseña La contraseña del almacén de confianza del cliente (solo compatible con Db2)
nota

El nombre de la base de datos se proporciona en el secreto o en la referencia de yaml. spring.aws.jics.db.dbname

Base de datos Blusam

Las credenciales de la base de datos de Blusam con spring.aws.client.bluesam.db.secret

spring: aws: client: bluesam: db: dbname: bluesam secret: arn:aws:secretsmanager:XXXX

Claves secretas de la base de datos Blusam compatibles:

Clave secreta Descripción de la clave secreta
host El nombre del host
port ¿El puerto
dbname El nombre de la base de datos
username El nombre de usuario
password La contraseña
engine Motor de base de datos: Postgres, Oracle, Db2, Microsoft Server SQL
currentSchema Esquema específico a utilizar (solo compatible con Db2)
sslConnection Si se debe utilizar la SSL conexión (solo compatible con Db2)
sslTrustStoreUbicación La ubicación del almacén de confianza en el cliente (solo compatible con Db2)
sslTrustStoreContraseña La contraseña del almacén de confianza del cliente (solo compatible con Db2)
nota

El nombre de la base de datos se proporciona en el secreto o en la referencia de yaml. spring.aws.client.bluesam.db.dbname

Base de datos de clientes

El cliente application-profile.yml puede hacer referencia al secreto de ARN la base de datos del cliente. Esto requiere una propiedad adicional para enumerar los nombres de las fuentes de datos. spring.aws.client.datasources.names Para cada nombre de fuente de datos, ds_name especifique el secreto ARN en la siguiente propiedad:. spring.aws.client.datasources.ds_name.secret Ejemplo:

spring: aws: client: datasources: names: primary,host primary: secret: arn:aws:secretsmanager:XXXX host: dbname: hostdb secret: arn:aws:secretsmanager:XXXX

nombres: principal, anfitrión:

Un ejemplo con dos orígenes de datos de clientes denominados principal y host, cada uno con su base de datos y sus credenciales.

dbname: hostdb:

En este ejemplo, el nombre de la base de datos “host” no está en el secreto, sino que se proporciona aquí, mientras que la base de datos “primary” sí está en el secreto.

Claves secretas de bases de datos de clientes compatibles:

Clave secreta Descripción de la clave secreta
host El nombre del host
port ¿El puerto
dbname El nombre de la base de datos
username El nombre de usuario
password La contraseña
engine Motor de base de datos: Postgres, Oracle, Db2, Microsoft Server SQL
currentSchema Esquema específico a utilizar (solo compatible con Db2)
sslConnection Si se debe utilizar la SSL conexión (solo compatible con Db2)
sslTrustStoreUbicación La ubicación del almacén de confianza en el cliente (solo compatible con Db2)
sslTrustStoreContraseña La contraseña del almacén de confianza del cliente (solo compatible con Db2)

PGMbase de datos de servicios

application-utility-pgm.ymlPuede hacer referencia al secreto ARN para varios recursos.

  • spring.aws.client.datasources.primary

    • secret

      Secreto ARN de la base de datos de la aplicación.

Tipo: cadena

  • type

Nombre completo de la implementación del grupo de conexiones que se va a utilizar.

Tipo: cadena

Valor predeterminado: com.zaxxer.hikari.HikariDataSource

  • spring.aws.client.utility.pgm.datasources

    • names

Lista de nombres de fuentes de datos.

Tipo: cadena

  • dsname

    • dbname

Nombre del host.

Tipo: cadena

  • secret

Secreto ARN de la base de datos del host.

Tipo: cadena

  • type

Nombre completo de la implementación del grupo de conexiones que se va a utilizar.

Tipo: cadena

Valor predeterminado: com.zaxxer.hikari.HikariDataSource

Para un secreto de varias fuentes de datos:

spring: aws: client: primary: secret: arn:aws:secretsmanager:XXXX type: dataSourceType utility: pgm: datasources: names: dsname1,dsname2,dsname3 dsname1: dbname: dbname1 secret: arn:aws:secretsmanager:XXXX type: dataSourceType dsname2: dbname: dbname2 secret: arn:aws:secretsmanager:XXXX type: dataSourceType dsname3: dbname: dbname3 secret: arn:aws:secretsmanager:XXXX type: dataSourceType

No hay claves secretas compatibles con XA

  • motor (postgres/oracle/db2/mssql)

  • port

  • dbname

  • currentSchema

  • username

  • password

  • url

  • sslConnection

  • sslTrustStoreUbicación

  • sslTrustStoreContraseña

postgresSolo para el valor de la clave sslMode secreta (disable/allow/prefer/require/verify-ca/verify-full) y la spring.aws.rds.ssl.cert-path YAML propiedad, es posible conectarse conSSL.

XA admitía claves secretas

Si la base de datos del cliente utiliza XA, las propiedades subxa se admiten mediante valores secretos.

  • host

  • port

  • dbname

  • currentSchema

  • username

  • password

  • url

  • sslConnection (verdadero/falso)

  • sslTrustStoreUbicación

  • sslTrustStoreContraseña

Sin embargo, para otras propiedades xa (por ejemplo, maxPoolSize odriverType), se spring.jta.atomikos.datasource.XXXX.unique-resource-name debe seguir proporcionando la YAML clave normal.

El valor secreto anula las propiedades. YAML

Superadministrador BAC predeterminado y JAC

También puede configurar application-main.yml para recuperar el nombre de usuario y la contraseña del usuario superadministrador predeterminado en el secreto de Secrets Manager AWS especificando el. ARN El siguiente ejemplo muestra cómo declarar este secreto en un archivo. YAML

spring: aws: client: defaultSuperAdmin: secret: arn:aws:secretsmanager:XXXX

Claves secretas de bases de datos de superadministradores predeterminadas compatibles:

Clave secreta Descripción de la clave secreta
username El nombre de usuario.
password La contraseña.

OAuth2

También puedes configurar `application-main.yml` para recuperar el secreto del OAuth2 cliente especificando el proveedor y. AWS Secrets Manager ARN El valor predeterminado de la propiedad del proveedor es Amazon Cognito. El siguiente es un ejemplo de configuración para el OAuth2 proveedor Keycloak:

spring: aws: client: provider: keycloak keycloak: secret: arn:aws:secretsmanager:XXXX

En este ejemplo, el secreto del cliente del OAuth2 proveedor Keycloak se recupera del especificado en Secrets ARN Manager. AWS Esta configuración admite varios proveedores al resolver dinámicamente el nombre del proveedor y el secreto correspondiente. ARN

Claves OAuth2 secretas compatibles:

Clave secreta Descripción de la clave secreta
client-secret El secreto generado por el servidor de autorización durante el proceso de registro de la solicitud.

Gestor de secretos para las cachés de Redis

El application-main.yml archivo puede hacer referencia al secreto de las cachés ARN de Redis. Los compatibles son:

  • Guarde las credenciales de Redis de Gapwalk con spring.aws.client.gapwalk.redis.secret

  • Credenciales de Bluesam Redis con spring.aws.client.bluesam.redis.secret

  • Bluesam bloquea las credenciales de Redis con spring.aws.client.bluesam.locks.redis.secret

  • Catálogo de conjuntos de datos: credenciales de Redis con spring.aws.client.dataset.catalog.redis.secret

  • JICSCredenciales de Redis con spring.aws.client.jics.redis.secret

  • Sesión de las credenciales de Redis con spring.aws.client.jics.redis.secret

  • Credenciales de Redis para el rastreador de sesiones con spring.aws.client.session.tracker.redis.secret

  • JICSTS pone en cola las credenciales de Redis con spring.aws.client.jics.queues.ts.redis.secret

  • JCLcompruebe las credenciales de Redis con spring.aws.client.jcl.checkpoint.redis.secret

  • Los archivos de Gapwalk bloquean las credenciales de Redis con spring.aws.client.gapwalk.files.locks.redis.secret

  • Blu4iv bloquea las credenciales de Redis con spring.aws.client.blu4iv.locks.redis.secret

El siguiente ejemplo muestra cómo declarar estos secretos en un archivo. YAML

spring: aws: client: gapwalk: redis: secret: arn:aws:secretsmanager:XXXX bluesam: locks: redis: secret: arn:aws:secretsmanager:XXXX redis: secret: arn:aws:secretsmanager:XXXX dataset: catalog: redis: secret: arn:aws:secretsmanager:XXXX jics: redis: secret: arn:aws:secretsmanager:XXXX session: tracker: redis: secret: arn:aws:secretsmanager:XXXX jics: queues: ts: redis: secret: arn:aws:secretsmanager:XXXX jcl: checkpoint: redis: secret: arn:aws:secretsmanager:XXXX gapwalk: files: locks: redis: secret: arn:aws:secretsmanager:XXXX blu4iv: locks: redis: secret: arn:aws:secretsmanager:XXXX

Claves secretas de Redis compatibles:

Clave secreta Descripción de la clave secreta
hostName El nombre de host del servidor Redis.
port El puerto del servidor Redis.
username El nombre de usuario.
password La contraseña.

Gestor secreto para la configuración de SSL contraseñas

El application-main.yml archivo puede hacer referencia al secreto ARN para configurar la SSL contraseña. Se admite lo siguiente.

  • Guarde las credenciales de Gapwalk SSL con spring.aws.client.ssl.secret

El siguiente ejemplo muestra cómo declarar estos secretos en un YAML archivo.

spring: aws: client: ssl: secret: arn:aws:secretsmanager:XXXX
Clave secreta Descripción de la clave secreta
trustStorePassword La contraseña de Truststore.
keyStorePassword La contraseña del almacén de claves.

Gestor secreto para la configuración IBM de contraseñas de MQ

El application-main.yml archivo puede hacer referencia al secreto de la configuración ARN de la contraseña de IBM MQ. Se admite lo siguiente.

  • IBMLas conexiones MQ se definen como una lista, al igual que las credenciales:

    mq.queues.jmsMQQueueManagers[N].secret:

    N comienza en 0 para la primera conexión.

El siguiente ejemplo muestra cómo declarar estos secretos en un YAML archivo.

mq.queues.jmsMQQueueManagers[0].secret: Secret-0-ARN mq.queues.jmsMQQueueManagers[1].secret: Secret-1-ARN

Para obtener información sobre el secretoARNs, consulta ¿Qué hay en un secreto de Secrets Manager?

Clave secreta Descripción de la clave secreta
password La contraseña del administrador de colas IBM MQ.