Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Hashicorp VaultでAWSクレデンシャルの管理を楽にしたい

Yuki_Kurono
December 20, 2022
0
290

Hashicorp VaultでAWSクレデンシャルの管理を楽にしたい

[大阪開催] nakanoshima.dev #33 - LT Night ! のLT資料

Yuki_Kurono

December 20, 2022
Tweet

More Decks by Yuki_Kurono

See All by Yuki_Kurono
Terraformのnull_resource ってなに?aws cli が実行できるらしい
yuki_kurono
0
79
回転re:Invent寿司
yuki_kurono
0
22
AWSのinfrastructure as codeを1年振り返って ~セッションレポート~
yuki_kurono
0
42
Terraform CloudでAWSリソース運用をより楽に
yuki_kurono
0
100
AWS CDK for Terraform 入門してみた
yuki_kurono
0
75
IaC運用してみて感じた 素晴らしさとアンチパターン
yuki_kurono
0
240
CloudFormationアンチパターンのお話
yuki_kurono
0
50
AWS CLIでCMKを沢山作ってみたら 困ったこと
yuki_kurono
1
180
TerraformでAWS環境を構築する際のハマりどころ
yuki_kurono
0
580

Featured

See All Featured
How New CSS Is Changing Everything About Graphic Design on the Web
jensimmons
214
12k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
500
130k
Writing Fast Ruby
sferik
613
58k
Visualization
eitanlees
129
12k
Imperfection Machines: The Place of Print at Facebook
scottboms
254
12k
Build The Right Thing And Hit Your Dates
maggiecrowley
22
1.5k
Done Done
chrislema
178
15k
Making the Leap to Tech Lead
cromwellryan
117
7.7k
Producing Creativity
orderedlist
PRO
335
38k
BBQ
matthewcrist
75
8.2k
Put a Button on it: Removing Barriers to Going Fast.
kastner
56
2.6k
Code Review Best Practice
trishagee
50
12k

Transcript

  1. Hashicorp VaultでAWSクレデンシャルの
    管理を楽にしたい
    黒野 雄稀 | 2022/12/20
    1
    [大阪開催] nakanoshima.dev #33 - LT Night !

    View Slide

  2. 自己紹介
    黒野 雄稀 Yuki Kurono
    kurono_98
    kurono
    アイレット株式会社 所属 
    普段はインフラ設計・構築や運用構築に従事
    2022 APN ALL AWS Certifications Engineers
    2
    re:Invent 2022初参加!🎉

    View Slide

  3. 3

    View Slide

  4. 4
    主にできること
    ▶ ダイナミックシークレットの生成
    ▶ Transit Secrets Engine
    Vaultとは?
    https://developer.hashicorp.com/vault

    View Slide

  5. 5
    Transit Secrets Engine
    この仕組みを使うと、DBに平文で個人情報等をいれることが無くなる。
    https://developer.hashicorp.com/vault/tutorials/encryption-as-a-service/eaas-transit

    View Slide

  6. 6
    How to use Vault.
    セルフホスト

    View Slide

  7.   プロファイル名(A環境)/
       ロール(describe-s3-bucket)
       ロール(readonly)
      プロファイル名(B環境)/
       ロール(admin)
       ロール(develop)
    7
    AWSクレデンシャル発行
    Generate
    リクエスト

    View Slide

  8.   プロファイル名(A環境)/
       ロール(describe-s3-bucket)
       ロール(readonly)
      プロファイル名(B環境)/
       ロール(admin)
       ロール(develop)
    8
    AWSクレデンシャル発行
    Generate
    リクエスト
    アクセスキー発行

    View Slide

  9.   プロファイル名(A環境)/
       ロール(describe-s3-bucket)
       ロール(readonly)
      プロファイル名(B環境)/
       ロール(admin)
       ロール(develop)
    9
    AWSクレデンシャル発行
    Generate
    リクエスト
    アクセスキー発行
    (readonly)

    View Slide

  10. クラスター作成

    View Slide

  11. クラスター作成

    View Slide

  12. クレデンシャル登録

    View Slide

  13. クレデンシャル登録
    アクセスキー、シークレットキーを入力する。

    View Slide

  14. クレデンシャル発行
    ポリシー名、付与する権限を入力する。

    View Slide

  15. クレデンシャル発行
    IAM Userを選択してGenerateする。

    View Slide

  16. クレデンシャル発行
    クレデンシャルをコピーしておく。

    View Slide

  17. 使ってみる

    View Slide

  18. 使ってみる🎉

    View Slide

  19. 裏側では..

    View Slide

  20. 20
    まとめ
    ▶ Hashicorp Vaultを使うと、セキュリティは高められそうだけどもう少し学習
    が  必要そう。
    ▶ OSS版に比べてSaas版は構築がとても楽。
    ▶ Terraformやその他のサービスと上手くかけ合わせて使うみたいなところも
      今後試していきたい。
    ▶ また来年もがんばろー。

    View Slide