<table_of_contents color="gray"/>
¶ Architecture et roles
Dans le cadre de la gestion des secrets, la plateforme Arkhn utilise la solution Hashicorp Vault couplée à une intégration avec Kubernetes (via le Vault Secret Operator) synchronisant les secrets entre les deux.
Trois rôles sont définis dans le cadre des opérations sur les secrets :
- data : associé au profil Data Engineer - ce profil permet la visualisation et la modification des secrets **ch-datasources **et dagster-datasources, respectivement en charge des connections aux bases de données source et aux systèmes de fichiers sources ;
- **devops : **associé au profile devops - ce profil a un accès administrateur complet au système ;
- **ssi : ** TODO
¶ Connection
Une fois défini le lien entre Keycloak et Vault, il est possible de se connecter via un compte nominatif. Pour ce faire, il suffit de se connecter à l'URL https://<url de la plateforme>/ui/ et choisir le mode de connection OIDC :
Il suffit alors de cliquer, un popup de connection se lancera alors permettant de valider la connection via l'authentification centralisée de la plateforme.
💡 Le rôle par défaut lors de la connection est le rôle data.** P**our se connecter avec un autre rôle (devops par exemple), il faut le préciser dans la fenêtre de connection Vault OIDC.
En tant que rôle data, on arrive alors sur cette interface :
¶ Opérations sur les secrets
Pour modifier les secrets, ici les secrets data, il suffit de cliquer sur le moteur "secrets" :
Le rôle data n'étant pas autorisé à lister les secrets, il faut explicitement choisir entre :
- ch-datasources (jdbc) : la liste des sources de données Clickhouse pour le JDBC bridge;
- dagster-datasources: la liste des secrets transmis à Dagster dans le cadre de ses orchestrations;
- cloudbeaver**-additional-datasources**: la liste des sources de données à charger pour l'exploration avec Cloudbeaver;
- pii-encryption-key: la clé de chiffrement symétrique nominale des données personnelles dans Clickhouse;
- gen-and-loc-encryption-key: la clé de chiffrement symétrique pour les données de génomique et de localisation;
Ainsi on accède aux détails du secret :
Et via l'onglet Secret, on peut alors créer une nouvelle version de ce secret, dont la modification sera automatiquement propagée au reste de la plateforme :
¶ Opération sur les PKI
🚧 cette section est en construction