Skip to content

docs: Add reencrypt #187

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Open
oashnic wants to merge 1 commit into
base: main
Choose a base branch
from
Open

docs: Add reencrypt #187

Show file tree
Hide file tree
Changes from all commits
Commits
Show all changes
1 commit
Select commit
File filter

Filter by extension

Filter by extension
Conversations
Failed to load comments.
Loading
Jump to
Jump to file
Failed to load files.
Loading
Diff view
Diff view
27 changes: 27 additions & 0 deletions content/documentation/admin/security/credentials.ru.md
View file
Open in desktop
Original file line number Diff line number Diff line change
Expand Up @@ -44,6 +44,33 @@ weight: 30
При изменении ключа шифрования (`security.secretKey`) в конфигурации все текущие учетные данные станут невалидными и не смогут быть расшифрованы.
{{< /alert >}}

## Ротация ключа шифрования

Если необходимо сменить ключ шифрования и при этом сохранить доступ к уже сохранённым учётным данным, используйте функцию «Ротация ключа шифрования».

Как выполнить ротацию:

1. Перейдите в раздел «Администрирование» → «Учетные данные».
1. Нажмите «Ротация ключа шифрования».
1. Заполните поля:
- **Старый ключ шифрования**.
- **Новый ключ шифрования**.
1. (Опционально) включите «Проверка (без записи)», чтобы убедиться, что старый ключ подходит для расшифровки сохранённых значений.
1. Нажмите «Перешифровать».

После успешного выполнения:

1. Обновите `security.secretKey` в конфигурации DDP на новый ключ.
1. Перезапустите DDP Backend.

{{< alert level="warning" >}}
Рекомендуется выполнять ротацию в окно обслуживания: в процессе операции часть запросов, которые используют учётные данные, может временно завершаться с ошибкой.
{{< /alert >}}

### Права доступа

Для выполнения операции требуется глобальное разрешение `rotate:encryption-key`.

### Хранение в HashiCorp Vault

Если для типа учётных данных выбрано хранилище **Vault**, то реквизиты пользователей сохраняются платформой в HashiCorp Vault или в Deckhouse Stronghold.
Expand Down
3 changes: 3 additions & 0 deletions content/documentation/admin/security/rbac.ru.md
View file
Open in desktop
Original file line number Diff line number Diff line change
Expand Up @@ -117,6 +117,9 @@ weight: 20
Типы учётных данных:
- `edit:user-access-credentials-types` — создание, редактирование и удаление типов учётных данных; настройка интеграции с Vault (просмотр и изменение конфигурации, проверка подключения).

Безопасность:
- `rotate:encryption-key` — выполнение операции «Ротация ключа шифрования» для перешифрования сохранённых учётных данных при смене ключа шифрования приложения.

{{< alert level="info" >}}
Разрешение `update:team-variables` позволяет редактировать переменные только тех команд, участником которых является пользователь. Даже супер-администратор не сможет изменить переменные команд, в которых не состоит.
{{< /alert >}}
Expand Down
10 changes: 10 additions & 0 deletions content/documentation/release-notes/v1.6.0.ru.md
View file
Open in desktop
Original file line number Diff line number Diff line change
@@ -0,0 +1,10 @@
---
title: v1.6.0
weight: 910
---

## Новые возможности

### Безопасность

Добавлена функция «Ротация ключа шифрования» для перешифрования сохранённых учётных данных при смене ключа шифрования приложения. Подробнее — в разделе [«Учетные данные»](../../admin/security/credentials/#ротация-ключа-шифрования).