Для настройки ротации строки подключения к БД Avanpost IDM без остановки сервиса необходимо использовать специальный плагин. В Avanpost IDM для этого реализован встроенный плагин "VaultCredential" для БД PostgreSQL.
Для работы с другими БД и для реализации дополнительных мер защиты возможна разработка внешнего плагина.
Для настройки получения строки подключения к БД с помощью плагина "VaultCredential" требуется выполнить шаги:
Шаг 1. Выполнить интеграцию с Hashicorp Vault.
Для этого требуется выполнить действия по инструкции: "5.5. Настройка интеграции с Hashicorp Vault".
Шаг 2. Настроить секрет в Hashicorp Vault.
Требуется создать секрет с парами ключ-значение:
| Ключ | Описание |
|---|---|
username | Логин БД Avanpost IDM для использования в строке подключения |
password | Пароль БД Avanpost IDM для использования в строке подключения |
Шаг 3. Установить переменные окружения для загрузки учетных данных БД Avanpost IDM из Vault.
| Переменная | Описание | Пример |
|---|---|---|
IGA_CFG_VAULT_CONNECTIONSTRING_KV_PATH | Путь к секрету Vault | IGA_CFG_VAULT_CONNECTIONSTRING_KV_PATH=database |
IGA_CFG_VAULT_CONNECTIONSTRING_KV_MOUNT_PATH | Путь монтирования секрета Vault | IGA_CFG_VAULT_CONNECTIONSTRING_KV_MOUNT_PATH=kv |
Шаг 4. Активировать плагин для получения строки подключения БД из Vault.
Для этого требуется в конфигурационном файле Avanpost IDM "iga.config" указать в параметре "ConnectionStringProvider" секции "database" плагин "builtin://VaultCredential":
'database': {
'ConnectionString': '....',
'ConnectionStringProvider' : ['builtin/PgMultihost', 'builtin://VaultCredential'],
...
}