Agregar una Safe
Una Safe es el objeto de acceso en VaultPAM. Vincula tres cosas: (1) qué Recurso se está accediendo, (2) qué credencial se inyecta, (3) quién puede utilizarla y bajo qué política.
Antes de comenzar
- El Recurso que desea proteger ya está registrado (Agregar su primer recurso).
- Tiene (o creará) una credencial para inyectar — ya sea una contraseña estática, una credencial rotada por JIT desde OpenBao, o un par de claves SSH ya almacenado en Vault.
Pasos
- Abra Safes → Add Safe desde la barra lateral.
- En Resource, seleccione el objetivo registrado que la Safe protegerá.
- En Credential, seleccione una Account Binding existente o cree una nueva:
- Static — VaultPAM almacena la contraseña cifrada.
- JIT-rotated — VaultPAM solicita a OpenBao que genere y rote la contraseña al inicio de la sesión.
- SSH key — se inserta una clave pública en el objetivo; la clave privada permanece en Vault.
- En Members, seleccione los usuarios o grupos que pueden utilizar la Safe. Puede mezclar usuarios individuales y grupos de Entra/AD.
- En Policy, seleccione una plantilla de política existente o deje los valores predeterminados:
- Approval requerida / no requerida.
- Recording activada / desactivada (activada de forma predeterminada).
- Clipboard permitido / bloqueado (bloqueado de forma predeterminada para objetivos privilegiados).
- MFA step-up al inicio de la sesión.
- Revise y haga clic en Create Safe.
La Safe aparece en la lista de Safes inmediatamente. Los miembros reciben una notificación de que ahora tienen acceso.