概要
VaultにはPKI(公開鍵基盤)の機能もあります。
これを使って
- ルートCA
- 中間CA
を用意し、
を作成します。
環境
- Vault 0.10.3
VaultのTransit secret engineでデータを暗号化・復号する
概要
VaultにはTransit Secrets Engineという、暗号化・復号をしてくれる機能があります。
このTransit Secrets EngineはKey/Valueのように暗号化データを保存することはなく、暗号化するための暗号化キーを保存&バージョン管理します。
また複数の機能を持っており、AWS KMSのようなデータキーを生成する機能もあります。
今回はこれの使い方を紹介します。
環境
- Vault 0.10.3
基本的な使い方
暗号化キーの生成
まずはtransitを有効化します。
$ vault secrets enable transit
Success! Enabled the transit secrets engine at: transit/
続きを読む
GolangでVaultを操作
概要
これまで紹介したVaultの使い方はCLIを使うのがメインでしたが、実際はアプリケーション内で秘密情報を扱うケースが多々あります。
Vaultはgolangのライブラリを提供しているので、様々なログイン方法を紹介しつつ秘密情報にアクセスしてみます。
環境
- Vault 0.10.3
- golang 1.10.3
CLIから秘密情報を登録する
あらかじめKey/Valueに秘密情報を登録しておきます。
$ vault kv put secret/my-secret my-value=s3cr3t Key Value --- ----- created_time 2018-07-13T15:01:30.440745605Z deletion_time n/a destroyed false version 2続きを読む
VaultのPolicyを使った運用
概要
VaultはPolicyを使って各APIの権限を設定します。
これによって権限を細かく設定することができますが、実際の運用ではどんな形で進めるのがいいのかがドキュメントでは分かりにくかったのでまとめした。
環境
- Vault 0.10.3
Policy付与のフロー
以下のようにPolicyを操作できるユーザがVaultに登録し、ユーザなどにマッピングします。
ref: Policies - Vault by HashiCorp
続きを読むVaultでSSHをCA認証に
背景
AWSを運用しているとEC2のsshのキーペア管理が難しいです。
GCPであればアカウントを持てば自動で各ノードにsshできる仕組みがありますが、AWSは各インスタンスにsshのキーペアを1つだけ登録するようになっているため、複数人で運用するにはぱっと以下の方法が浮かびます。
しかしそれぞれ問題があります。秘密鍵の共有はセキュリティ的に大きな問題がありますし、後の2つは起動時に設定するのが非常に手間です。
仮にLambdaなどで新規サーバに対して設定する処理を自動化しても、あとからジョインしたメンバーは別途対応しなくてはいけません。
そこでsshを公開鍵認証でなく、CA認証を使うことで複数のメンバーでも管理しやすくします。
CA認証は以下の記事で非常に分かりやすく説明されています。
今回このCA認証を、Vaultを使って簡単&セキュアに構築します。
続きを読むVaultのSeal/Unseal
概要
Hashicorp Vaultは起動時はsealedというステータスになっており、リストを取得したりKey-Valueの値を取得することができません。
Vaultはセキュリティのため、データにアクセスする手段は知っていても起動時は復号の方法を知らないのです。
そこでUnsealというプロセスで復号用のマスターキーを複数の鍵から生成して復号できるようになっています。
ref: Rekeying & Rotating Vault - Guides - Vault by HashiCorp
なぜこのような仕組みを導入しているのかを説明します。
続きを読む