Интеграция с сервисами Yandex Cloud

Вы можете использовать секреты Yandex Lockbox в следующих сервисах Yandex Cloud:

• Yandex Cloud Functions.
• Yandex Connection Manager.
• Yandex Managed Service for Kubernetes.
• Yandex Serverless Containers.

Yandex Cloud FunctionsYandex Cloud Functions

Если для работы функции Cloud Functions требуются чувствительные данные, такие как пароли доступа к БД, статические ключи доступа или OAuth-токен, используйте секреты Yandex Lockbox для передачи таких данных в функцию. Это позволит предотвратить несанкционированный доступ третьих лиц к чувствительным данным.

Чтобы функция Cloud Functions могла получить доступ к данным, хранящимся в секрете Yandex Lockbox, назначьте роль lockbox.payloadViewer на нужный секрет сервисному аккаунту, от имени которого будет выполняться функция.

Yandex Connection ManagerYandex Connection Manager

Подключения Connection Manager и секреты Yandex Lockbox c параметрами подключений к базам данных создаются автоматически при создании кластера управляемых баз данных в Yandex Cloud, если поддержка Connection Manager настроена на уровне облака.

Секреты, созданные автоматически при создании кластера, нельзя ни редактировать, ни удалять — они изменяются автоматически при редактировании настроек пользователя в кластере управляемой базы данных. Имена таких секретов совпадают с идентификаторами соответствующих подключений.

Yandex Managed Service for KubernetesYandex Managed Service for Kubernetes

По умолчанию Kubernetes хранит секреты в открытом виде. Если ваш кластер Yandex Managed Service for Kubernetes использует секреты, настройте синхронизацию секретов кластера с секретами Yandex Lockbox с помощью инструмента External Secrets Operator. Это позволит защитить чувствительные данные от несанкционированного доступа третьих лиц.

Для того чтобы инструмент External Secrets Operator мог получить доступ к данным, хранящимся в секрете Yandex Lockbox, назначьте роль lockbox.payloadViewer на нужный секрет сервисному аккаунту, созданному при установке External Secrets Operator.

Yandex Serverless ContainersYandex Serverless Containers

Чтобы обезопасить от несанкционированного доступа API-ключи, токены, пароли к базам данных и другие чувствительные данные, которые используются контейнерами Serverless Containers, храните эти чувствительные данные в секретах Yandex Lockbox.

Для того чтобы контейнер Serverless Containers мог получить доступ к данным, хранящимся в секрете Yandex Lockbox, назначьте роль lockbox.payloadViewer на нужный секрет сервисному аккаунту, от имени которого будет запускаться контейнер.

См. такжеСм. также

• Передать секреты Yandex Lockbox в функцию.
• Создание подключения Connection Manager.
• Синхронизация с секретами Yandex Lockbox в Managed Service for Kubernetes.
• Передать секреты Yandex Lockbox в контейнер.
• Безопасное хранение паролей для GitLab CI в виде секретов Yandex Lockbox.