Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Vault Secrets Operator と Dynamic Secrets で安全にシー...

ののし
May 29, 2023
Technology
4
790

Vault Secrets Operator と Dynamic Secrets で安全にシークレットを使おう / Vault Secrets Operator and Dynamic Secrets

ののし

May 29, 2023
Tweet

More Decks by ののし

See All by ののし
HCP Vault Secrets でシークレット管理を始めよう / Getting Started with Secret Management Using HCP Vault Secrets
nnstt1
0
49
HashiCorp Ambassador が予想!Red Hat × HashiCorp の未来 / The Future of Red Hat and HashiCorp
nnstt1
1
130
Terraform を使った Front Door の小ネタ / Terraform for Front Door
nnstt1
0
93
つまずきから学ぶ Backstage の Golden Path 構築
nnstt1
2
980
Azure ユーザに捧げる Terraform Cloud 101 / Terraform Cloud 101 for Azure Users
nnstt1
0
470
AKS と HCP Vault の組み合わせでつまずいた話 / Stumbles with AKS and HCP Vault combination
nnstt1
1
110
Vault Secrets Operator と HCP Vault を使った AKS のシークレット管理 / AKS secret management using the Vault Secrets Operator and HCP Vault
nnstt1
0
120
OpenShift を身近に感じる Single Node OpenShift と OpenShift Local / Single Node OpenShift and OpenShift Local that makes OpenShift familiar
nnstt1
1
1k
カンタンお手軽?!k8sから使えるラズパイ分散ストレージ / Raspberry Pi distributed storage from k8s
nnstt1
1
1.5k

Other Decks in Technology

See All in Technology
Amazon SageMaker Unified Studio(Preview)、Lakehouse と Amazon S3 Tables
ishikawa_satoru
0
150
第3回Snowflake女子会_LT登壇資料(合成データ)_Taro_CCCMK
tarotaro0129
0
180
社内イベント管理システムを1週間でAKSからACAに移行した話し
shingo_kawahara
0
180
Amazon Kendra GenAI Index 登場でどう変わる? 評価から学ぶ最適なRAG構成
naoki_0531
0
100
MLOps の現場から
asei
6
630
UI State設計とテスト方針
rmakiyama
2
290
レンジャーシステムズ | 会社紹介(採用ピッチ)
rssytems
0
150
宇宙ベンチャーにおける最近の情シス取り組みについて
axelmizu
0
110
大幅アップデートされたRagas v0.2をキャッチアップ
os1ma
2
520
20241220_S3 tablesの使い方を検証してみた
handy
3
190
サイバー攻撃を想定したセキュリティガイドライン 策定とASM及びCNAPPの活用方法
syoshie
3
1.2k
Storage Browser for Amazon S3
miu_crescent
1
120

Featured

See All Featured
Art, The Web, and Tiny UX
lynnandtonic
298
20k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
111
49k
Mobile First: as difficult as doing things right
swwweet
222
9k
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.4k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.3k
Facilitating Awesome Meetings
lara
50
6.1k
Product Roadmaps are Hard
iamctodd
PRO
49
11k
How To Stay Up To Date on Web Technology
chriscoyier
789
250k
4 Signs Your Business is Dying
shpigford
181
21k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
Into the Great Unknown - MozCon
thekraken
33
1.5k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
28
900

Transcript

  1. Vault Secrets Operator と Dynamic Secrets で 安全にシークレットを使おう Kubernetes Novice

    Tokyo #25 LT 2023/5/29

  2. Name Taichi Nonoshita Twitter ののし @nnstt1 Company 株式会社エーピーコミュニケーションズ Love 3人の息子たち

    自己紹介 めざせ Azure 資格全冠! (あと13個)

  3. Kubernetes シークレットの管理はむずかしい

  4. Kubernetes シークレットの管理はむずかしい そもそも

  5. シークレットの管理はむずかしい 管理者 開発者 依頼 DB ユーザ作成 認証情報 ユーザ 台帳 認証情報を記録

  6. シークレットの管理はむずかしい 管理者 開発者 依頼 DB ユーザ作成 認証情報 ユーザ 台帳 認証情報を記録

    記録ミス 棚卸 パスワード使いまわし 退職 使われているか 不明なユーザ

  7. Dynamic Secrets

  8. Dynamic Secrets とは • HashiCorp Vault の機能 • 各種データベースやクラウドプロバイダに一時ユーザを作成 •

    有効期限 (TTL) が切れたら一時ユーザを削除 ログイン & リクエスト ユーザ作成 事前に Dynamic Secrets を設定 管理者 認証情報 DB ユーザ ユーザ削除

  9. 接続先データベースやユーザ作成時のクエリを設定 • データベースプラグインを選択 • ユーザ名とパスワードは動的に生成される シークレットエンジン 接続先データベース ユーザ作成時のクエリ(SQL Server の場合)

  10. クライアントが Dynamic Secrets を使えるようにポリシーを設定 • Dynamic Secrets はシークレットエンジンの読み込み権限があれば利用可能 ポリシー ログイン

    database シークレットエンジンの 参照を許可するポリシー ポリシーと紐づけ

  11. Vault にログインして vault read database/creds/<Role 名> を実行 • リース情報が出力される ◦

    ユーザ名 & パスワード ◦ 有効期間(ここでは 3 分) ◦ 更新の可否 クライアントから Dynamic Secrets を利用

  12. Dynamic Secrets はとても便利 Kubernetes でも Dynamic Secrets を使いたい! • アプリケーション(コンテナ)側で

    Vault を使うことは意識したくない • Kubernetes シークレット に Vault シークレットを反映してほしい ログイン & リクエスト ユーザ作成 認証情報 DB ユーザ

  13. Vault Secrets Operator

  14. • HashiCorp 公式の Vault シークレットを Kubernetes シークレットに 反映してくれる Operator •

    現在 (2025/5/29) のバージョンは v0.1.0-beta • インストール方法などは Kubernetes Novice Tokyo #24 で @URyo_0213 さんが発表 された資料を参照ください。 え?なんで同じ Operator ネタなの? Vault Secrets Operator とは https://speakerdeck.com/ry/vault-secrets-operator-tutorial

  15. • Vault 設定 ◦ Kubernetes 認証の有効化、ロール作成 ◦ シークレットエンジン (Dynamic Secrets)

    パスワードください Vault Secrets Operator から Dynamic Secrets を使う Kubernetes 認証 このアカウント本物? Service Account TokenReview API https://kubernetes.io/docs/reference/kubernetes-api/authentication-resources/token-review-v1/

  16. • カスタムリソース ◦ VaultConnection ▪ Vault の接続情報 ◦ VaultAuth ▪

    Operator が Vault を使う際の認証情報 ◦ VaultDynamicSecret ▪ Vault シークレットを反映させる Kubernetes シークレット ▪ シークレットを使うアプリケーション Vault Secrets Operator から Dynamic Secrets を使う

  17. カスタムリソースと Vault の関係 VaultConnection VaultAuth VaultDynamicSecret address vaultConnectionRef vaultAuthRef mount

    role rolloutRestartTargets destination method mount kubernetes role serviceAccount Kubernetes Auth kubernetes Role dynamic-role Secrets Engines database Role readonly ※一部パラメータを省略

  18. • VaultDynamicSecret を起点に Vault からシークレット反映 1. カスタムリソースをチェック 2. ServiceAccount Token

    発行 3. Vault に Dynamic Secrets を要求 4. データベースにユーザ作成 5. リース情報を応答 6. Kubernetes シークレットを更新 7. アプリケーションをロールアウトして シークレット反映 Vault Secrets Operator の動作 VaultDynamicSecret Vault Secrets Operator ① ③ ④ ⑤ ② ⑥ ⑦ DB ユーザ 有効期限 2023/5/29 19:10:00

  19. • VaultDynamicSecret があれば Dynamic Secrets の有効期限を延長 1. カスタムリソースをチェック 2. 有効期限を更新(延長)

    Vault Secrets Operator の動作 VaultDynamicSecret Vault Secrets Operator ① ② DB ユーザ 有効期限 2023/5/29 19:20:00

  20. • VaultDynamicSecret がなければ何もしない 1. カスタムリソースをチェック 2. Vault が DB からユーザを削除

    3. Kubernetes シークレットを使ったDB アクセス不可 Vault Secrets Operator の動作 VaultDynamicSecret Vault Secrets Operator ① ② DB ユーザ 有効期限 2023/5/29 19:20:00 ③

  21. まとめ • HashiCorp Vault はいいぞ • Dynamic Secrets はいいぞ •

    Vault Secrets Operator はいいぞ