Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Rundeckで 秘匿情報パラメータを セキュアに扱う
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
kashiwaguma-hiro
November 21, 2018
0
690
Rundeckで 秘匿情報パラメータを セキュアに扱う
ジョブスケジューラであるRundeckからジョブを起動する際、パスワード等の秘匿情報を扱うと思います。
この日得情報を扱う良いアイデアをご紹介します。
kashiwaguma-hiro
November 21, 2018
Tweet
Share
More Decks by kashiwaguma-hiro
See All by kashiwaguma-hiro
読んだ気になれる_オライリー本の攻略法
kashiwagumahiro
0
10
Ansistrano(&Ansible) への導入
kashiwagumahiro
0
420
Terraformのざっくり入門
kashiwagumahiro
0
180
DMM.comの課金プラットフォームにおけるサーバーサイドKotlin事情
kashiwagumahiro
1
3.6k
Featured
See All Featured
What’s in a name? Adding method to the madness
productmarketing
PRO
24
3.9k
Navigating Weather and Climate Data
rabernat
0
110
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
twada
PRO
117
110k
The Power of CSS Pseudo Elements
geoffreycrofte
80
6.2k
How STYLIGHT went responsive
nonsquared
100
6k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1.2k
Statistics for Hackers
jakevdp
799
230k
More Than Pixels: Becoming A User Experience Designer
marktimemedia
3
330
Reality Check: Gamification 10 Years Later
codingconduct
0
2k
Reflections from 52 weeks, 52 projects
jeffersonlam
356
21k
VelocityConf: Rendering Performance Case Studies
addyosmani
333
24k
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
techseoconnect
PRO
0
89
Transcript
Rundeckで 秘匿情報パラメータを セキュアに扱う 会計スクラムチーム 柏熊 宏幸
かるく自己紹介 • 社歴 ◦ 2016年3月1日入社(DMM歴:2年7ヶ月) • 所属 ◦ 会計スクラムチーム ◦
決済、購入、ポイントの情報を何やかんやし、経理 /CFO向けのレポートをつくってます • 得意 ◦ IaC(Terraform, Ansible) ◦ Python ◦ Kotlin ◦ 障害調査切り分けなど
背景 • 経理レポート作成のため、オンプレの一部データをAWSへ転送 • 転送にはRundeck+embulkを採用 購入 決済 ポイント kick user認証
IAM認証
課題 • Rundeckから秘匿情報をパラメータで渡すとき、生のまま扱うことに... 購入 決済 ポイント user認証 IAM認証 kick kick時、パラメータとして
秘匿情報を渡す!
こんな感じでまるみえ〜
▪画面上 ▪exportした設定ファイル 生パスワード丸見え
解決策 • Rundeck Key Storageが使えそう ◦ https://rundeck.org/docs/administration/security/key-storage.html • Rundeck上で扱うprivate key,
public key, パスワード類を保存・参照・破棄できる 機能 • 事前にKeyStorageに保存し、ジョブ実行時に参照/利用。 • 保存時のキーは、ファイルパスのように指定。 ◦ (例) 会計DBのユーザパスワード ▪ keys/accounting/user ▪ keys/accounting/passsword
Key Storageへ登録
Job設定での参照
▪画面上 ▪exportした設定ファイル 生のままパスワード 表示されなくなる!
注意点 • 保存した後は保存値は画面上からは確認できない ◦ マスタ値は別で管理しましょう • secureつってるけど、暗号化はされてないよ ◦ catコマンドで中身を普通に見れました ◦
暗号化したい場合は、 Key Storage Convert Pluginを使ってやる ▪ https://rundeck.org/docs/developer/storage-converter-plugin.html
まとめ • Rundeckから秘匿情報を扱うとき、Key Storageをつかえばそのまま扱うよりセキュ アっぽい ◦ 秘匿情報や鍵のこと考えなきゃ〜からの開放が良さげ • 暗号化までガチガチに考えるならConverter Pluginの設定が必要そう
• 気になった方は、Dockerでできるのでためしてガッテン! ◦ https://hub.docker.com/r/jordan/rundeck/
kashiwagumahiro
productmarketing
rabernat
twada
geoffreycrofte
nonsquared
irinanazarova
jakevdp
marktimemedia
codingconduct
jeffersonlam
addyosmani
techseoconnect
