Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Rundeckで 秘匿情報パラメータを セキュアに扱う
Search
kashiwaguma-hiro
November 21, 2018
0
680
Rundeckで 秘匿情報パラメータを セキュアに扱う
ジョブスケジューラであるRundeckからジョブを起動する際、パスワード等の秘匿情報を扱うと思います。
この日得情報を扱う良いアイデアをご紹介します。
kashiwaguma-hiro
November 21, 2018
Tweet
Share
More Decks by kashiwaguma-hiro
See All by kashiwaguma-hiro
読んだ気になれる_オライリー本の攻略法
kashiwagumahiro
0
10
Ansistrano(&Ansible) への導入
kashiwagumahiro
0
420
Terraformのざっくり入門
kashiwagumahiro
0
180
DMM.comの課金プラットフォームにおけるサーバーサイドKotlin事情
kashiwagumahiro
1
3.6k
Featured
See All Featured
Lessons Learnt from Crawling 1000+ Websites
charlesmeaden
PRO
0
1k
What's in a price? How to price your products and services
michaelherold
246
13k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
32
1.9k
Game over? The fight for quality and originality in the time of robots
wayneb77
1
76
エンジニアに許された特別な時間の終わり
watany
106
220k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
27k
Building a A Zero-Code AI SEO Workflow
portentint
PRO
0
230
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
0
3.4k
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
82
Leveraging Curiosity to Care for An Aging Population
cassininazir
1
140
First, design no harm
axbom
PRO
1
1.1k
Primal Persuasion: How to Engage the Brain for Learning That Lasts
tmiket
0
200
Transcript
Rundeckで 秘匿情報パラメータを セキュアに扱う 会計スクラムチーム 柏熊 宏幸
かるく自己紹介 • 社歴 ◦ 2016年3月1日入社(DMM歴:2年7ヶ月) • 所属 ◦ 会計スクラムチーム ◦
決済、購入、ポイントの情報を何やかんやし、経理 /CFO向けのレポートをつくってます • 得意 ◦ IaC(Terraform, Ansible) ◦ Python ◦ Kotlin ◦ 障害調査切り分けなど
背景 • 経理レポート作成のため、オンプレの一部データをAWSへ転送 • 転送にはRundeck+embulkを採用 購入 決済 ポイント kick user認証
IAM認証
課題 • Rundeckから秘匿情報をパラメータで渡すとき、生のまま扱うことに... 購入 決済 ポイント user認証 IAM認証 kick kick時、パラメータとして
秘匿情報を渡す!
こんな感じでまるみえ〜
▪画面上 ▪exportした設定ファイル 生パスワード丸見え
解決策 • Rundeck Key Storageが使えそう ◦ https://rundeck.org/docs/administration/security/key-storage.html • Rundeck上で扱うprivate key,
public key, パスワード類を保存・参照・破棄できる 機能 • 事前にKeyStorageに保存し、ジョブ実行時に参照/利用。 • 保存時のキーは、ファイルパスのように指定。 ◦ (例) 会計DBのユーザパスワード ▪ keys/accounting/user ▪ keys/accounting/passsword
Key Storageへ登録
Job設定での参照
▪画面上 ▪exportした設定ファイル 生のままパスワード 表示されなくなる!
注意点 • 保存した後は保存値は画面上からは確認できない ◦ マスタ値は別で管理しましょう • secureつってるけど、暗号化はされてないよ ◦ catコマンドで中身を普通に見れました ◦
暗号化したい場合は、 Key Storage Convert Pluginを使ってやる ▪ https://rundeck.org/docs/developer/storage-converter-plugin.html
まとめ • Rundeckから秘匿情報を扱うとき、Key Storageをつかえばそのまま扱うよりセキュ アっぽい ◦ 秘匿情報や鍵のこと考えなきゃ〜からの開放が良さげ • 暗号化までガチガチに考えるならConverter Pluginの設定が必要そう
• 気になった方は、Dockerでできるのでためしてガッテン! ◦ https://hub.docker.com/r/jordan/rundeck/
kashiwagumahiro
charlesmeaden
michaelherold
garrettdimon
wayneb77
watany
cassininazir
portentint
katarinadahlin
ryanjones
axbom
tmiket
