HashiCorp Vaultを使ったシークレットのセキュアな一元管理 〜Ansibleを添えて〜/2022-07-12-llt26

Transcript

1. Vaultを使ったシークレットのセキュアな一元管理 Satoshi SAKAO えるLT Vol.26 2022-07-12 1 〜Ansibleを添えて〜 HashiCorp

2. 話すひと 2 🏢 インフォコム株式会社 サービスマネジメント室 👨🔧 ソフトウェアエンジニア 🛠 Node.js /

   AWS / IoT / iOS (Swift) / Linux 💖 猫，テクテクライフ（ランク: 24） Satoshi SAKAO @ottijp

3. モチベーション • CI/CDインフラにシークレットを分散して持たせたくない • 何ヶ月か前のSoftware Designで連載があった • Ansibleでのデプロイに連携させて試してみたい 3

4. Vaultとは • シークレットマネージャ by HashiCorp • ざっくり機能 • シークレットストア •

   シークレットのバージョン管理 • シークレットのローテーション • 動的シークレット（AWS IAM等のプロキシ） • 認証，認可（認証プロバイダ連携，ロールとポリシ，トークン，MFA） • 監査 4 https://www.vaultproject.io/

5. かんたんな例 • secretという場所にあるKVにシークレットを入れて，取り出す • REST APIやWebUIでも操作可能 5 $ vault kv

   put -mount=secret mysecret loginpass=pa$$w0rd $ vault kv get -mount=secret -format=json mysecret | jq .data.data { "loginpass": "pa$$w0rd" }

6. 全体図 6 https://learn.hashicorp.com/tutorials/vault/getting-started-intro?in=vault/getting-started

7. 7 デプロイにおけるシークレットのSSOT化 SSOT: Single Source of Truth

8. いまのデプロイ 8 シークレットのソースが複数箇所に存在する

9. Vaultを使ったカイゼン 9 デプロイ時にシークレットをコピーしない

10. AnsibleでVaultのシークレットを取得する例 10 - hosts: localhost gather_facts: no connection: local tasks:

    - name: Vaultからパスワードを取得 vars: - vaultrequest: 'secret=secret/data/mysecret token={{ lookup("env", "VAULT_TOKEN") }} url=http://127.0.0.1:8200' - mysecret: "{{ lookup('hashi_vault', vaultrequest) }}" debug: var: mysecret

11. AnsibleでVaultのシークレットを取得する例 Cont. 11 $ export VAULT_TOKEN=<your_vault_token> $ ansible-playbook playbook.yml [WARNING]:

    No inventory was parsed, only implicit localhost is available [WARNING]: provided hosts list is empty, only localhost is available. Note that the implicit localhost does not match 'all' PLAY [localhost] ********************************************************************************************* TASK [Vaultからパスワードを取得] ********************************************************************************************* ok: [localhost] => { "mysecret": { "loginpassword": "passw0rd" } }

12. よりよい構成 12 シークレットのSSOT化 デプロイラインにおけるシークレットの秘匿

13. 13 Appendix

14. 認証方法 • トークン • ユーザ名とパスワード • クラウドアカウント（AWS, Azure, GCP, GitHub,

    etc） • LDAP • MFA • etc 14

15. アプリケーションによるアクセスと認可 • AppRole認証を用いる • ポリシをロールに付与して認可をコントロールする • ポリシはHCLというJSON互換のDSLで提議 • https://github.com/hashicorp/hcl •

    RoleIDとSecretIDでログインしてトークンを取得し， 
 トークン認証でシークレットを操作する 15

16. AppRoleを使う際のベストプラクティス • Binding CIDRsでログインできるIPを制限する • AppRole Response Wrappingで 
 SecretIDの代わりに，SecretIDを取得するための

    
 制限付きトークンを発行する 16

17. root権限の分散 • seal/unsealという機構で， 
 単独の管理者に権限が集中しないようにできる • データベースの初期化時に複数のunsealキーが生成される • Vaultサーバの起動時（unseal）やrootトークンの発行に 


    複数のunsealキーが必要 17

18. Ansible Vaultというのもある • Ansibleのファイルや値の暗号化 • シークレットがAnsibleに分散することに変わりはないし， 
 Ansible Vaultのキーをどこで管理するか問題がある 18

19. refs • Getting Started | Vault - HashiCorp Learn 


    https://learn.hashicorp.com/collections/vault/getting-started • hashi_vault – retrieve secrets from HashiCorp’s vault — Ansible Documentation 
 https://docs.ansible.com/ansible/2.9/plugins/lookup/hashi_vault.html • Hashicorp Vault に保存した機密情報を Ansible で使用する - Qiita 
 https://qiita.com/ryysud/items/6b28193a4ea190fa70d1 • [Ansible] Ansible から HashiCorp Vault のシークレットを取得する - てくなべ (tekunabe) 
 https://tekunabe.hatenablog.jp/entry/2022/04/08/ansible_retrieve_secrets_from_vault • Ansible Playbook で localhost でタスクを実行する方法 | gotohayato.com 
 https://gotohayato.com/content/539/ • [Ansible] 環境変数を取得する ansible_env.hoge と lookup("env", "hoge") の違い - てくなべ (tekunabe) 
 https://tekunabe.hatenablog.jp/entry/2019/03/09/ansible_env 19