Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Rundeckで 秘匿情報パラメータを セキュアに扱う
Search
kashiwaguma-hiro
November 21, 2018
0
630
Rundeckで 秘匿情報パラメータを セキュアに扱う
ジョブスケジューラであるRundeckからジョブを起動する際、パスワード等の秘匿情報を扱うと思います。
この日得情報を扱う良いアイデアをご紹介します。
kashiwaguma-hiro
November 21, 2018
Tweet
Share
More Decks by kashiwaguma-hiro
See All by kashiwaguma-hiro
Ansistrano(&Ansible) への導入
kashiwagumahiro
0
350
Terraformのざっくり入門
kashiwagumahiro
0
170
DMM.comの課金プラットフォームにおけるサーバーサイドKotlin事情
kashiwagumahiro
1
3.5k
Featured
See All Featured
Fashionably flexible responsive web design (full day workshop)
malarkey
407
66k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
8
780
Git: the NoSQL Database
bkeepers
PRO
430
65k
A Tale of Four Properties
chriscoyier
159
23k
The Cult of Friendly URLs
andyhume
79
6.4k
The World Runs on Bad Software
bkeepers
PRO
68
11k
The Straight Up "How To Draw Better" Workshop
denniskardys
233
140k
Faster Mobile Websites
deanohume
307
31k
Automating Front-end Workflow
addyosmani
1370
200k
Music & Morning Musume
bryan
46
6.6k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
252
21k
Side Projects
sachag
455
42k
Transcript
Rundeckで 秘匿情報パラメータを セキュアに扱う 会計スクラムチーム 柏熊 宏幸
かるく自己紹介 • 社歴 ◦ 2016年3月1日入社(DMM歴:2年7ヶ月) • 所属 ◦ 会計スクラムチーム ◦
決済、購入、ポイントの情報を何やかんやし、経理 /CFO向けのレポートをつくってます • 得意 ◦ IaC(Terraform, Ansible) ◦ Python ◦ Kotlin ◦ 障害調査切り分けなど
背景 • 経理レポート作成のため、オンプレの一部データをAWSへ転送 • 転送にはRundeck+embulkを採用 購入 決済 ポイント kick user認証
IAM認証
課題 • Rundeckから秘匿情報をパラメータで渡すとき、生のまま扱うことに... 購入 決済 ポイント user認証 IAM認証 kick kick時、パラメータとして
秘匿情報を渡す!
こんな感じでまるみえ〜
▪画面上 ▪exportした設定ファイル 生パスワード丸見え
解決策 • Rundeck Key Storageが使えそう ◦ https://rundeck.org/docs/administration/security/key-storage.html • Rundeck上で扱うprivate key,
public key, パスワード類を保存・参照・破棄できる 機能 • 事前にKeyStorageに保存し、ジョブ実行時に参照/利用。 • 保存時のキーは、ファイルパスのように指定。 ◦ (例) 会計DBのユーザパスワード ▪ keys/accounting/user ▪ keys/accounting/passsword
Key Storageへ登録
Job設定での参照
▪画面上 ▪exportした設定ファイル 生のままパスワード 表示されなくなる!
注意点 • 保存した後は保存値は画面上からは確認できない ◦ マスタ値は別で管理しましょう • secureつってるけど、暗号化はされてないよ ◦ catコマンドで中身を普通に見れました ◦
暗号化したい場合は、 Key Storage Convert Pluginを使ってやる ▪ https://rundeck.org/docs/developer/storage-converter-plugin.html
まとめ • Rundeckから秘匿情報を扱うとき、Key Storageをつかえばそのまま扱うよりセキュ アっぽい ◦ 秘匿情報や鍵のこと考えなきゃ〜からの開放が良さげ • 暗号化までガチガチに考えるならConverter Pluginの設定が必要そう
• 気になった方は、Dockerでできるのでためしてガッテン! ◦ https://hub.docker.com/r/jordan/rundeck/