Secret Store 연동
Overview
Integrations 메뉴에서는 Secret Store의 정보를 입력하고 관리합니다.
Secret Store 를 통해 안전하게 DB 및 서버 인증 정보를 관리할 수 있고, 사용자에게 직접적인 인증 정보 노출없이 DB 및 서버에 안전하게 접속이 가능합니다. 커넥션 접속 정보 저장시 인증정보를 QueryPie 내부에 저장하는 것이 아닌 Secret Store 에서 가져와 인증할 수 있도록 설정할 수 있습니다.
실제 Secret Store의 사용 여부는 Security메뉴에서 설정할 수 있습니다. 다음은 QueryPie에서 지원 중인 Secret Store 서비스 목록입니다.
- HashiCorp Vault
- Microsoft Active Directory
Vault 연동시 사전 준비 사항:
- QueryPie 연동할 Vault 서버:
- Vault 와 연동하기 위해서는 해당 Vault 서버가 동작하고 있어야 합니다. Vault 서비스가 실행되고, API 요청을 처리할 수 있고, Vault에서 인증 처리를 수행할 수 있어야 합니다.
- Vault에 저장된 리소스의 인증 정보:
- Vault와 연동하기 위해서는 Vault 에 접속할 서비스(ex. DB, Server 등)의 인증 정보를 미리 저장해두어야 합니다. 연동하려는 서비스에 대한 접근 권한과 인증 정보(ex. Username, Password, API 키 등)을 Vault에 저장한 상태를 의미합니다.
- 인증 정보 호출을 위한 올바른 경로(Path):
- Vault에 저장된 자격 증명을 식별하는 데 사용되는 경로(패스)는 정확해야 합니다. 이것은 Vault에서 어떤 자격 증명을 가져와야 하는지를 지정하는 경로를 말합니다. 이 경로는 Vault에 저장된 자원 및 자격 증명과 연결됩니다.
- 보다 자세한 Vault 구성은 Hashicorp Vault Documentation 공식 문서 를 참고해주세요.
실제로 QueryPie에서 Secret Store에 인증 정보를 저장하려면, Vault 연동을 마친 후에 Security 페이지에서 Secret Store 사용을 활성화해야 합니다. 자세한 내용은 Security l Secre Store 설정 문서를 참고하세요.
HashiCorp Vault 연동 정보 조회하기
Administrator > General > System > Integrations > HashiCorp Vault
- Administrator > General > System > Integrations > 메뉴로 진입합니다.
- Secret Store 하단의 HashiCorp Vault 타일을 클릭합니다.
- 현재 연동 중인 Vault 목록을 조회할 수 있습니다.
HashiCorp Vault 연동 정보 삭제하기
Administrator > General > Security 페이지 내 Secret Store 활성화를 해제하기 위해서는 먼저 연동되어 있는 Vault 정보를 모두 삭제해야 합니다. 다음은 연동 정보를 삭제하는 방법입니다.
Administrator > General > System > Integrations > HashiCorp Vault > Delete
- 테이블에서 체크박스를 선택하면 헤더 영역에
Delete버튼이 나타납니다. 버튼을 클릭합니다. - 삭제 확인 모달에서
OK버튼을 클릭합니다. - 리스트 상에서, 선택한 리스트 아이템의 삭제 완료를 확인합니다.
HashiCorp Vault 연동 정보 입력
Administrator > General > System > Integrations > HashiCorp Vault > Connect
- HashiCorp Vault 페이지에서
Connect버튼을 클릭합니다. - Name : Secret Store의 명칭을 입력합니다.
- Service : 이 Secret Store의 연결을 사용할 서비스(DB 또는 Server)를 선택합니다.
- Service 항목은 저장 후 변경이 불가능합니다.
- 선택된 Secret Store 타입에 따라 연동을 위한 인증 정보를 입력합니다.
- Server Address : Secret Store 서버의 주소를 입력합니다.
- Auth Method : QueryPie 와 Vault 의 인증 방식을 선택합니다.
- Token : Vault에서 발급받은 Token을 이용한 인증 방식입니다.
- AppRole : Role ID와 Secret ID 조합을 이용한 인증 방식입니다.
- Role ID : AppRole 인증 시 필수로 사용되는 고유 식별자입니다.
- Secret ID : 로그인 시 필요한 비밀 Credentials입니다.
- Secret Engine : Hashicorp Vault 의 Secret Engine 타입을 선택합니다.
- 현재 버전 기준 Database, K/V, SSH OTP, SSH CA 엔진 4가지를 지원합니다.
- Secret Engine 은 저장 후 변경이 불가능합니다.
- 변경하고자 하는 경우 모든 커넥션의 Secret Store 설정을 해제한 뒤 재설정이 필요합니다.
- Namespace : Vault의 Namespace를 입력합니다.
- Namespace 항목은 저장 후 변경이 불가능합니다.
- 필요한 모든 정보를 입력했다면, Verify integration 버튼을 클릭합니다.
- 모든 정보가 올바르게 입력되었다면 :check_mark: Success 메시지가 표시됩니다.
OK버튼을 클릭하여 저장합니다.
Active Directory 연동시 사전 준비 사항:
- Active Directory 서버 : QueryPie와 연동할 AD 서버가 정상적으로 동작하고 있어야 하며, LDAPS(LDAP over SSL) 연결을 지원해야 합니다.
- 관리자 계정 정보 : AD에 연결하여 다른 사용자 계정의 암호를 변경할 수 있는 권한을 가진 계정의 정보(사용자 이름, 암호)가 필요합니다.
- 네트워크 설정 : QueryPie 서버에서 AD 서버의 LDAPS 포트(기본값: 636)로 접근이 가능해야 합니다.
Active Directory 연동 정보 조회하기
Administrator > General > System > Integrations > Microsoft Active Directory
- Administrator > General > System > Integrations 메뉴로 진입합니다.
- Microsoft Active Directory (AD) 타일을 클릭합니다.
- 현재 연동 중인 AD 정보 목록을 조회할 수 있습니다.
Active Directory 연동 정보 삭제하기
- 삭제할 AD 정보의 테이블 항목에서 체크박스를 선택하면 헤더 영역에
Delete버튼이 나타납니다. 해당 버튼을 클릭합니다. - 삭제 확인 모달에서
OK버튼을 클릭합니다. - 목록에서 선택한 항목이 삭제되었는지 확인합니다.
Active Directory 삭제 시 유의 사항 Active Directory 연동 정보를 삭제하기 전에, 해당 AD 도메인과 연결된 모든 개인 계정(UPN)을 먼저 삭제해야 합니다. Admin > Servers> Account Management > Active Directory 탭에서 관련 계정을 모두 삭제한 후 다음 절차를 진행해 주십시오.
Active Directory 연동 정보 입력
- Active Directory 페이지에서
+ Connect버튼을 클릭합니다. - 연동에 필요한 정보를 입력합니다.
- Name : 연동 정보의 명칭을 입력합니다.
- Domain Information : 암호를 관리할 Active Directory의 도메인 이름을 입력합니다.
- Server Address : Active Directory 서버의 주소를 입력합니다.
- Auth Type : 인증 방식은 LDAPS로 고정되어 있습니다.
- Port : LDAPS 포트 번호를 입력합니다. (기본값: 636)
- Admin Account : AD에 연결할 관리자 계정의 사용자 이름을 입력합니다. 이 계정은 다른 사용자의 암호를 변경할 수 있는 권한이 필요합니다.
- Admin Password : 관리자 계정의 암호를 입력합니다.
- 모든 정보를 입력했다면,
Verify Integration버튼을 클릭하여 AD 서버와의 연동을 확인합니다. - 연동 확인 성공 메시지가 표시되면
Save버튼을 클릭하여 설정을 완료합니다.