HashiCorp VaultにはTransit Secrets Engineという、暗号化・復号をしてくれる機能があります。
このTransit Secrets EngineはKey/Valueのように暗号化データを保存することはなく、暗号化するための暗号化キーを保存&バージョン管理します。
また複数の機能を持っており、AWS KMSのようなデータキーを生成する機能もあります。
今回はこれの使い方を紹介します。
まずはtransitを有効化します。
$ vault secrets enable transit
Success! Enabled the transit secrets engine at: transit/
続きを読む
これまで紹介したHashiCorp Vaultの使い方はCLIを使うのがメインでしたが、実際はアプリケーション内で秘密情報を扱うケースが多々あります。
VaultはGoのライブラリを提供しているので、様々なログイン方法を紹介しつつ秘密情報にアクセスしてみます。
あらかじめKey/Valueに秘密情報を登録しておきます。
$ vault kv put secret/my-secret my-value=s3cr3t Key Value --- ----- created_time 2018-07-13T15:01:30.440745605Z deletion_time n/a destroyed false version 2続きを読む
HashiCorp VaultはPolicyを使って各APIの権限を設定します。
これによって権限を細かく設定することができますが、実際の運用ではどんな形で進めるのがいいのかがドキュメントでは分かりにくかったのでまとめした。
以下のようにPolicyを操作できるユーザがVaultに登録し、ユーザなどにマッピングします。
ref: Policies - Vault by HashiCorp
続きを読むAWSを運用しているとEC2のsshのキーペア管理が難しいです。
GCPであればメタデータにsshキーを登録すれば自動で各VMにsshできる仕組みがありますが、AWSは各インスタンスにsshのキーペアを1つだけ登録するようになっているため、複数人で運用するにはぱっと以下の方法が浮かびます。
しかしそれぞれ問題があります。秘密鍵の共有はセキュリティ的に大きな問題がありますし、後の2つは起動時に設定するのが非常に手間です。
仮にLambdaなどで新規サーバに対して設定する処理を自動化しても、あとからジョインしたメンバーは別途対応しなくてはいけません。
そこでsshを公開鍵認証でなく、CA認証を使うことで複数のメンバーでも管理しやすくします。
CA認証は以下の記事で非常に分かりやすく説明されています。
今回このCA認証を、Vaultを使って簡単&セキュアに構築します。
続きを読むHashicorp Vaultは起動時はsealedというステータスになっており、リストを取得したりKey-Valueの値を取得することができません。
Vaultはセキュリティのため、データにアクセスする手段は知っていても起動時は復号の方法を知らないのです。
そこでUnsealというプロセスで復号用のマスターキーを複数の鍵から生成して復号できるようになっています。
ref: Rekeying & Rotating Vault | Vault - HashiCorp Learn
なぜこのような仕組みを導入しているのかを説明します。
続きを読む