Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Rundeckで 秘匿情報パラメータを セキュアに扱う
Search
kashiwaguma-hiro
November 21, 2018
0
470
Rundeckで 秘匿情報パラメータを セキュアに扱う
ジョブスケジューラであるRundeckからジョブを起動する際、パスワード等の秘匿情報を扱うと思います。
この日得情報を扱う良いアイデアをご紹介します。
kashiwaguma-hiro
November 21, 2018
Tweet
Share
More Decks by kashiwaguma-hiro
See All by kashiwaguma-hiro
Ansistrano(&Ansible) への導入
kashiwagumahiro
0
270
Terraformのざっくり入門
kashiwagumahiro
0
130
DMM.comの課金プラットフォームにおけるサーバーサイドKotlin事情
kashiwagumahiro
1
3.4k
Featured
See All Featured
Large-scale JavaScript Application Architecture
addyosmani
506
110k
Fireside Chat
paigeccino
25
2.8k
Product Roadmaps are Hard
iamctodd
PRO
48
10k
How GitHub Uses GitHub to Build GitHub
holman
471
290k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
325
21k
Statistics for Hackers
jakevdp
792
220k
The Invisible Customer
myddelton
117
13k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
121
18k
5 minutes of I Can Smell Your CMS
philhawksworth
200
19k
Ruby is Unlike a Banana
tanoku
96
10k
Side Projects
sachag
451
42k
Bootstrapping a Software Product
garrettdimon
PRO
304
110k
Transcript
Rundeckで 秘匿情報パラメータを セキュアに扱う 会計スクラムチーム 柏熊 宏幸
かるく自己紹介 • 社歴 ◦ 2016年3月1日入社(DMM歴:2年7ヶ月) • 所属 ◦ 会計スクラムチーム ◦
決済、購入、ポイントの情報を何やかんやし、経理 /CFO向けのレポートをつくってます • 得意 ◦ IaC(Terraform, Ansible) ◦ Python ◦ Kotlin ◦ 障害調査切り分けなど
背景 • 経理レポート作成のため、オンプレの一部データをAWSへ転送 • 転送にはRundeck+embulkを採用 購入 決済 ポイント kick user認証
IAM認証
課題 • Rundeckから秘匿情報をパラメータで渡すとき、生のまま扱うことに... 購入 決済 ポイント user認証 IAM認証 kick kick時、パラメータとして
秘匿情報を渡す!
こんな感じでまるみえ〜
▪画面上 ▪exportした設定ファイル 生パスワード丸見え
解決策 • Rundeck Key Storageが使えそう ◦ https://rundeck.org/docs/administration/security/key-storage.html • Rundeck上で扱うprivate key,
public key, パスワード類を保存・参照・破棄できる 機能 • 事前にKeyStorageに保存し、ジョブ実行時に参照/利用。 • 保存時のキーは、ファイルパスのように指定。 ◦ (例) 会計DBのユーザパスワード ▪ keys/accounting/user ▪ keys/accounting/passsword
Key Storageへ登録
Job設定での参照
▪画面上 ▪exportした設定ファイル 生のままパスワード 表示されなくなる!
注意点 • 保存した後は保存値は画面上からは確認できない ◦ マスタ値は別で管理しましょう • secureつってるけど、暗号化はされてないよ ◦ catコマンドで中身を普通に見れました ◦
暗号化したい場合は、 Key Storage Convert Pluginを使ってやる ▪ https://rundeck.org/docs/developer/storage-converter-plugin.html
まとめ • Rundeckから秘匿情報を扱うとき、Key Storageをつかえばそのまま扱うよりセキュ アっぽい ◦ 秘匿情報や鍵のこと考えなきゃ〜からの開放が良さげ • 暗号化までガチガチに考えるならConverter Pluginの設定が必要そう
• 気になった方は、Dockerでできるのでためしてガッテン! ◦ https://hub.docker.com/r/jordan/rundeck/