Vai al contenuto principale

Ruotare una credenziale

Le credenziali archiviate in VaultPAM possono essere ruotate manualmente o automaticamente. Dopo la rotazione, le sessioni già avviate continuano con la credenziale precedente fino al loro termine; le nuove sessioni ricevono quella nuova.

Rotazione manuale

  1. Aprire Vault → Accounts (oppure aprire il Safe e fare clic sul nome della sua credenziale).
  2. Fare clic su Rotate now.
  3. Scegliere un metodo di rotazione:
    • New random password — VaultPAM genera una password casuale e aggiorna il target (richiede un plugin di rotazione configurato per il tipo di target).
    • Upload new value — si incolla la nuova password/chiave; VaultPAM la crittografa e la archivia. Il target deve essere aggiornato out-of-band.
  4. Fare clic su Confirm. Viene emesso un evento di audit.

Rotazione automatica

  1. In Vault → Accounts, aprire l'account e passare a Rotation policy.
  2. Impostare la cadenza (ad esempio, ogni 30 giorni) e il metodo di rotazione.
  3. VaultPAM eseguirà la rotazione secondo la pianificazione. Gli avvisi si attivano se una rotazione non riesce.

Rotazione JIT (nessuna password archiviata)

Per i target che lo supportano (Linux SSH, Postgres, MySQL, ecc.), abilitare Just-in-Time credentials: VaultPAM chiede a OpenBao di generare una password di breve durata all'avvio della sessione e la revoca al termine della sessione. Non esiste alcuna password a lunga durata.

Articoli correlati