Slide 1
Slide 1 text
Hashicorp VaultでAWSクレデンシャルの
管理を楽にしたい
黒野 雄稀 | 2022/12/20
1
[大阪開催] nakanoshima.dev #33 - LT Night !
Slide 2
Slide 2 text
自己紹介
黒野 雄稀 Yuki Kurono
kurono_98
kurono
アイレット株式会社 所属
普段はインフラ設計・構築や運用構築に従事
2022 APN ALL AWS Certifications Engineers
2
re:Invent 2022初参加!🎉
Slide 3
Slide 3 text
3
Slide 4
Slide 4 text
4
主にできること
▶ ダイナミックシークレットの生成
▶ Transit Secrets Engine
Vaultとは?
https://developer.hashicorp.com/vault
Slide 5
Slide 5 text
5
Transit Secrets Engine
この仕組みを使うと、DBに平文で個人情報等をいれることが無くなる。
https://developer.hashicorp.com/vault/tutorials/encryption-as-a-service/eaas-transit
Slide 6
Slide 6 text
6
How to use Vault.
セルフホスト
Slide 7
Slide 7 text
プロファイル名(A環境)/
ロール(describe-s3-bucket)
ロール(readonly)
プロファイル名(B環境)/
ロール(admin)
ロール(develop)
7
AWSクレデンシャル発行
Generate
リクエスト
Slide 8
Slide 8 text
プロファイル名(A環境)/
ロール(describe-s3-bucket)
ロール(readonly)
プロファイル名(B環境)/
ロール(admin)
ロール(develop)
8
AWSクレデンシャル発行
Generate
リクエスト
アクセスキー発行
Slide 9
Slide 9 text
プロファイル名(A環境)/
ロール(describe-s3-bucket)
ロール(readonly)
プロファイル名(B環境)/
ロール(admin)
ロール(develop)
9
AWSクレデンシャル発行
Generate
リクエスト
アクセスキー発行
(readonly)
Slide 10
Slide 10 text
クラスター作成
Slide 11
Slide 11 text
クラスター作成
Slide 12
Slide 12 text
クレデンシャル登録
Slide 13
Slide 13 text
クレデンシャル登録
アクセスキー、シークレットキーを入力する。
Slide 14
Slide 14 text
クレデンシャル発行
ポリシー名、付与する権限を入力する。
Slide 15
Slide 15 text
クレデンシャル発行
IAM Userを選択してGenerateする。
Slide 16
Slide 16 text
クレデンシャル発行
クレデンシャルをコピーしておく。
Slide 17
Slide 17 text
使ってみる
Slide 18
Slide 18 text
使ってみる🎉
Slide 19
Slide 19 text
裏側では..
Slide 20
Slide 20 text
20
まとめ
▶ Hashicorp Vaultを使うと、セキュリティは高められそうだけどもう少し学習
が 必要そう。
▶ OSS版に比べてSaas版は構築がとても楽。
▶ Terraformやその他のサービスと上手くかけ合わせて使うみたいなところも
今後試していきたい。
▶ また来年もがんばろー。