Интеграция с сервисами Yandex Cloud
Вы можете использовать секреты Yandex Lockbox в следующих сервисах Yandex Cloud:
- Yandex Cloud Functions.
- Yandex Connection Manager.
- Yandex Managed Service for Kubernetes.
- Yandex Serverless Containers.
Yandex Cloud Functions
Если для работы функции Cloud Functions требуются чувствительные данные, такие как пароли доступа к БД, статические ключи доступа или OAuth-токен, используйте секреты Yandex Lockbox для передачи таких данных в функцию. Это позволит предотвратить несанкционированный доступ третьих лиц к чувствительным данным.
Чтобы функция Cloud Functions могла получить доступ к данным, хранящимся в секрете Yandex Lockbox, назначьте роль lockbox.payloadViewer
на нужный секрет сервисному аккаунту, от имени которого будет выполняться функция.
Yandex Connection Manager
Подключения Connection Manager и секреты Yandex Lockbox c параметрами подключений к базам данных создаются автоматически при создании кластера управляемых баз данных в Yandex Cloud, если поддержка Connection Manager настроена на уровне облака.
Секреты, созданные автоматически при создании кластера, нельзя ни редактировать, ни удалять — они изменяются автоматически при редактировании настроек пользователя в кластере управляемой базы данных. Имена таких секретов совпадают с идентификаторами соответствующих подключений.
Yandex Managed Service for Kubernetes
По умолчанию Kubernetes хранит секреты в открытом виде. Если ваш кластер Yandex Managed Service for Kubernetes использует секреты, настройте синхронизацию секретов кластера с секретами Yandex Lockbox с помощью инструмента External Secrets Operator
Для того чтобы инструмент External Secrets Operator мог получить доступ к данным, хранящимся в секрете Yandex Lockbox, назначьте роль lockbox.payloadViewer
на нужный секрет сервисному аккаунту, созданному при установке External Secrets Operator.
Yandex Serverless Containers
Чтобы обезопасить от несанкционированного доступа API-ключи, токены, пароли к базам данных и другие чувствительные данные, которые используются контейнерами Serverless Containers, храните эти чувствительные данные в секретах Yandex Lockbox.
Для того чтобы контейнер Serverless Containers мог получить доступ к данным, хранящимся в секрете Yandex Lockbox, назначьте роль lockbox.payloadViewer
на нужный секрет сервисному аккаунту, от имени которого будет запускаться контейнер.