Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
HCP Vault Secrets でシークレット管理を始めよう / Getting Star...
Search
ののし
November 14, 2024
Technology
0
98
HCP Vault Secrets でシークレット管理を始めよう / Getting Started with Secret Management Using HCP Vault Secrets
HashiTalks: Japan 2024 で投影した資料です。
ののし
November 14, 2024
Tweet
Share
More Decks by ののし
See All by ののし
今から、 今だからこそ始める Terraform で Azure 管理 / Managing Azure with Terraform: The Perfect Time to Start
nnstt1
0
340
HashiCorp Ambassador が予想!Red Hat × HashiCorp の未来 / The Future of Red Hat and HashiCorp
nnstt1
1
180
Terraform を使った Front Door の小ネタ / Terraform for Front Door
nnstt1
0
140
つまずきから学ぶ Backstage の Golden Path 構築
nnstt1
2
1.2k
Azure ユーザに捧げる Terraform Cloud 101 / Terraform Cloud 101 for Azure Users
nnstt1
0
510
AKS と HCP Vault の組み合わせでつまずいた話 / Stumbles with AKS and HCP Vault combination
nnstt1
1
130
Vault Secrets Operator と HCP Vault を使った AKS のシークレット管理 / AKS secret management using the Vault Secrets Operator and HCP Vault
nnstt1
0
170
Vault Secrets Operator と Dynamic Secrets で安全にシークレットを使おう / Vault Secrets Operator and Dynamic Secrets
nnstt1
4
860
OpenShift を身近に感じる Single Node OpenShift と OpenShift Local / Single Node OpenShift and OpenShift Local that makes OpenShift familiar
nnstt1
1
1.1k
Other Decks in Technology
See All in Technology
Startups On Rails 2025 @ Tropical on Rails
irinanazarova
0
230
SRE NEXT CfP チームが語る 聞きたくなるプロポーザルとは / Proposals by the SRE NEXT CfP Team that are sure to be accepted
chaspy
1
550
【2025年度新卒技術研修】100分で学ぶ サイバーエージェントのデータベース 活用事例とMySQLパフォーマンス調査
cyberagentdevelopers
PRO
3
5.4k
ソフトウェア開発現代史: なぜ日本のソフトウェア開発は「滝」なのか?製造業の成功体験とのギャップ #jassttokyo
takabow
3
1.9k
ゆるくVPC Latticeについてまとめてみたら、意外と奥深い件
masakiokuda
2
220
Road to SRE NEXT@仙台 IVRyの組織の形とSLO運用の現状
abnoumaru
1
470
Spice up your notifications/try!Swift25
noppefoxwolf
2
160
「それはhowなんよ〜」のガイドライン #orestudy
77web
9
2.4k
LINEギフトのLINEミニアプリアクセシビリティ改善事例
lycorptech_jp
PRO
0
350
古き良き Laravel のシステムは関数型スタイルでリファクタできるのか
leveragestech
1
600
食べログが挑む!飲食店ネット予約システムで自動テスト無双して手動テストゼロを実現する戦略
hagevvashi
1
130
IVRyにおけるNLP活用と NLP2025の関連論文紹介
keisukeosone
0
170
Featured
See All Featured
Music & Morning Musume
bryan
47
6.4k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
RailsConf 2023
tenderlove
29
1.1k
Bash Introduction
62gerente
611
210k
GraphQLの誤解/rethinking-graphql
sonatard
70
10k
GraphQLとの向き合い方2022年版
quramy
45
14k
Large-scale JavaScript Application Architecture
addyosmani
512
110k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
45
9.5k
Navigating Team Friction
lara
184
15k
Side Projects
sachag
452
42k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
4
510
The Invisible Side of Design
smashingmag
299
50k
Transcript
HCP Vault Secrets で シークレット管理を始めよう HashiTalks: Japan 2024-11-14 Taichi Nonoshita
(@nnstt1)
自己紹介 埜下 太一 / Taichi Nonoshita 株式会社エーピーコミュニケーションズ Terraform, Vault, Azure,
Kubernetes HashiCorp Ambassador 2024 Microsoft Top Partner Engineer Award 2024 <Azure> @nnstt1
こんな方に聞いて欲しい • 組織・個人開発にシークレット管理を導入したい方 • Vault は知ってるけど HCP Vault Secrets は知らない方
HashiCorp Vault のおさらい
HashiCorp Vault とは • データ暗号化 • シークレット管理 クラウドやアプリケーションを跨がり、 インフラで必要なシークレットを一元管理 環境やワークロードを跨がり、
アプリケーションデータを暗号化して保護
• Vault Community Edition ◦ シークレット管理/暗号化の基本機能を無償提供 • Vault Enterprise ◦
Namespace や 高可用性クラスタ などの企業向け機能を提供 ◦ セキュリティ要件が高い組織向け • HCP Vault Dedicated ◦ Enterprise 相当のマネージド Vault クラスタを提供 ◦ Azure/AWS とプライベートアクセス可能 少し前までの HashiCorp Vault の種類
Vault クラスタはオーバースペックな場合もある • 組織が小規模・個人開発 • Vault でシークレット管理以外の機能を使う予定がない ◦ データ暗号化、証明書管理… •
Vault 自体の運用が不安 ◦ アクセスコントロール、ポリシー、Namespace… • 費用感が合わない
None
HCP Vault Secrets (HVS) の特徴 • クラスタ管理は不要 ◦ HCP 上で提供されるマネージドサービス
◦ シークレット管理に注力 • 機能はシークレット管理に限定 ◦ スモールに始められる ◦ 学習コストが低い • シークレット数の課金 ◦ 費用を予想しやすい ◦ 用途に応じたプランあり
HCP Vault Secrets のはじめ方
HCP Vault Secrets のはじめ方 1. HCP (HashiCorp Cloud Platform) へログイン
https://portal.cloud.hashicorp.com/sign-in
HCP Vault Secrets のはじめ方 2. Organization と Project を作成 Organization
• 請求、ユーザーアクセスの管理単位 • 組織内で Organization 作成済みの場合は招待してもらう ◦ 1アカウントで作れる Organization は1つだけ
HCP Vault Secrets のはじめ方 2. Organization と Project を作成 Organization
Project “Stage” Project “Production” • HCP リソースをまとめる単位 • ワークロードや環境などで分割 ◦ プロジェクト毎の費用が分かる ◦ RBAC に影響してくる(後述)
HCP Vault Secrets のはじめ方 3. HCP Vault Secrets でアプリケーションを作成
HCP Vault Secrets のはじめ方 3. HCP Vault Secrets でアプリケーションを作成 Organization
Project “Stage” Project “Production” App“foo” App“bar” App“foo” App“bar” • シークレットを管理する単位 • Kubernetes の Secret リソースに似ている
HCP Vault Secrets のはじめ方 4. アプリケーション内に Key-Value 形式でシークレットを登録 シークレット値は参 照可能
HCP Vault Secrets のはじめ方 4. アプリケーション内に Key-Value 形式でシークレットを登録 Organization Project
“Stage” Project “Production” App“foo” App“bar” App“foo” App“bar” 🔑 🔑 🔑 🔑 🔑 🔑 🔑 🔑
HCP Vault Secrets の シークレットを使う
プッシュ型とプル型 シークレットの利用方法 App 🔑 🔑 AWS Secrets Manager CLI Azure
Key Vault Google Cloud Secrets Manager GitHub Actions HCP Terraform Vercel API Kubernetes プッシュ プル
アプリケーション毎に「Secrets Sync」を設定 • クラウドプロバイダーのシークレットマネージャーや CI ツールとシークレットを同期 • 1アプリケーションに対して複数の同期先を設定できる • 各サービスのシークレットを一元管理
プッシュ型 App 🔑 🔑 AWS Secrets Manager Azure Key Vault Google Cloud Secrets Manager GitHub Actions HCP Terraform Vercel Secrets Sync プッシュ
利用するユーザ/システム側からシークレットを取得 • CLI は hcp コマンドを利用可能 • Kubernetes は Vault
Secrets Operator を利用可能 プル型 CLI API Kubernetes プル App 🔑 🔑
プラン 3種類のプラン毎に制約が異なる • 登録できるシークレット数、Secrets Sync 設定数、シークレットの履歴 • Plus プラン限定の機能 Free
Standard Plus 料金 無料 $0.50/シークレット/月 $0.95/シークレット/月 アプリケーション 25 1,000 10,000 静的シークレット 25 2,500 25,000 Auto rotating シークレット - - 5,000 動的シークレット - - 5,000 シークレットのバージョン 5 50 50 Secrets Sync 5 200 2000
下にいくほど安全なシークレット シークレット管理のベストプラクティス Unmanaged secrets Vaulted Rotated Dynamic Short-lived + unique
secret Medium-lived + shared secret Long-lived + shared secret
Auto rotating シークレット • シークレットの存続期間を中程度に保つ ◦ 30日 or 60日 or
90日でシークレットを自動更新 ◦ AWS、Google Cloud、MongoDB Atlas、Twilio をサポート ◦ Plus プラン限定 🔑 App AWS 1.ローテーション 2.シークレット参照 3.更新されたシーク レットで認証
動的シークレット (beta) • Just In Time でシークレットを作成 ◦ シークレットの存続期間が短い ◦
AWS、Google Cloud をサポート、DB などは未サポート ◦ Plus プラン限定 🔑 App AWS 2.シークレット作成 4.作成されたシーク レットで認証 1.シークレット参照 3.シークレット応答
HCP Vault Secrets を 使う上での注意点
注意点 • API リミット ◦ 6000 リクエスト/分 ◦ プル型、特に Kubernetes
の場合は上限に到達しやすい • RBAC で細やかな設定は(まだ)できない ◦ 組み込みロールは管理者と閲覧者のみ ◦ 権限付与はプロジェクト単位 • パブリックアクセスのみ ◦ HCP Vault Dedicated のようなプライベートエンドポイントは 払い出されない
まとめ
まとめ HCP Vault Secrets はシークレット管理に特化した マネージドサービス 1 Secrets Sync でシークレットマネージャー/CIツールと
連携して一元管理 2 ベストプラクティスに対応したシークレット管理が可能 3
None