Интеграция с сервисами Yandex Cloud
Вы можете использовать секреты Yandex Lockbox в следующих сервисах Yandex Cloud:
- Yandex Cloud Functions.
- Yandex Connection Manager.
- Yandex Managed Service for Kubernetes.
- Yandex Serverless Containers.
Yandex Cloud Functions
Если для работы функции Cloud Functions требуются чувствительные данные, такие как пароли доступа к БД, статические ключи доступа или OAuth-токен, используйте секреты Yandex Lockbox для передачи таких данных в функцию. Это позволит предотвратить несанкционированный доступ третьих лиц к чувствительным данным.
Чтобы функция Cloud Functions могла получить доступ к данным, хранящимся в секрете Yandex Lockbox, назначьте роль lockbox.payloadViewer на нужный секрет сервисному аккаунту, от имени которого будет выполняться функция.
Yandex Connection Manager
Подключения Connection Manager и секреты Yandex Lockbox c параметрами подключений к базам данных создаются автоматически при создании кластера управляемых баз данных в Yandex Cloud, если поддержка Connection Manager настроена на уровне облака.
Секреты, созданные автоматически при создании кластера, нельзя ни редактировать, ни удалять — они изменяются автоматически при редактировании настроек пользователя в кластере управляемой базы данных. Имена таких секретов совпадают с идентификаторами соответствующих подключений.
Yandex Managed Service for Kubernetes
По умолчанию Kubernetes хранит секреты в открытом виде. Если ваш кластер Yandex Managed Service for Kubernetes использует секреты, настройте синхронизацию секретов кластера с секретами Yandex Lockbox с помощью инструмента External Secrets Operator. Это позволит защитить чувствительные данные от несанкционированного доступа третьих лиц.
Для того чтобы инструмент External Secrets Operator мог получить доступ к данным, хранящимся в секрете Yandex Lockbox, назначьте роль lockbox.payloadViewer на нужный секрет сервисному аккаунту, созданному при установке External Secrets Operator.
Yandex Serverless Containers
Чтобы обезопасить от несанкционированного доступа API-ключи, токены, пароли к базам данных и другие чувствительные данные, которые используются контейнерами Serverless Containers, храните эти чувствительные данные в секретах Yandex Lockbox.
Для того чтобы контейнер Serverless Containers мог получить доступ к данным, хранящимся в секрете Yandex Lockbox, назначьте роль lockbox.payloadViewer на нужный секрет сервисному аккаунту, от имени которого будет запускаться контейнер.
См. также
- Передать секреты Yandex Lockbox в функцию.
- Создание подключения Connection Manager.
- Синхронизация с секретами Yandex Lockbox в Managed Service for Kubernetes.
- Передать секреты Yandex Lockbox в контейнер.
- Безопасное хранение паролей для GitLab CI в виде секретов Yandex Lockbox.
Примеры использования
- Синхронизация с секретами Yandex Managed Service for Kubernetes
- Построение пайплайна CI/CD с использованием serverless-продуктов
- Использование секрета Yandex Lockbox для хранения статического ключа доступа с помощью CLI
- Создание интерактивного serverless-приложения с использованием WebSocket
- Автоматическое копирование объектов из одного бакета Yandex Object Storage в другой
- Развертывание отказоустойчивой архитектуры с прерываемыми виртуальными машинами
- Безопасная передача пароля в скрипт инициализации
- Загрузка данных из Яндекс Директ в витрину Yandex Managed Service for ClickHouse® с использованием Yandex Cloud Functions, Yandex Object Storage и Yandex Data Transfer