Slide 1

Slide 1 text

Berglas とCloud Build を使って 秘密情報をセキュアに (できるかも) Google Cloud Build Day - 2019/10/01 @yukinagae

Slide 2

Slide 2 text

TL;DR Berglas Cloud KMS とCloud Storage を使って秘密情報を 暗号化できる CLI もライブラリも用意されている CLI でのデモ

Slide 3

Slide 3 text

自己紹介 永江悠紀 @yukinagae エムスリー株式会社 ソフトウェアエンジニア データエンジニア寄り。最近はレコメンド改善 などもやる 元々Java/Scala でサーバサイドの開発をやっていた 最近はGo + Python を触ることが多い クラウドはGCP 担当(※AWS わからないだけ)

Slide 4

Slide 4 text

やりたいこと DB パスワードやCredential のJSON などの秘密情報 をどうGKE クラスタ内のコンテナに設定するか? CI の環境変数に文字列を設定する? CI の環境変数にキー文字列を設定 + CI 上で復号 Berglas とCloud Build で秘密情報もセキュアに扱え るのでは? Cloud KMS でキー文字列は管理されている キーで暗号化してCloud Storage に保存 サービスアカウント毎にその秘密情報へのアク セスを権限管理

Slide 5

Slide 5 text

やってみる https://github.com/yukinagae/berglas-cloud-build- example

Slide 6

Slide 6 text

参考資料 GitHub - GoogleCloudPlatform/berglas: A tool for managing secrets on Google Cloud GitHub - berglas/examples/cloudbuild