[大阪開催] nakanoshima.dev #33 - LT Night ! のLT資料
Hashicorp VaultでAWSクレデンシャルの管理を楽にしたい黒野 雄稀 | 2022/12/201[大阪開催] nakanoshima.dev #33 - LT Night !
View Slide
自己紹介黒野 雄稀 Yuki Kuronokurono_98kuronoアイレット株式会社 所属 普段はインフラ設計・構築や運用構築に従事2022 APN ALL AWS Certifications Engineers2re:Invent 2022初参加!🎉
3
4主にできること▶ ダイナミックシークレットの生成▶ Transit Secrets EngineVaultとは?https://developer.hashicorp.com/vault
5Transit Secrets Engineこの仕組みを使うと、DBに平文で個人情報等をいれることが無くなる。https://developer.hashicorp.com/vault/tutorials/encryption-as-a-service/eaas-transit
6How to use Vault.セルフホスト
プロファイル名(A環境)/ ロール(describe-s3-bucket) ロール(readonly) プロファイル名(B環境)/ ロール(admin) ロール(develop)7AWSクレデンシャル発行Generateリクエスト
プロファイル名(A環境)/ ロール(describe-s3-bucket) ロール(readonly) プロファイル名(B環境)/ ロール(admin) ロール(develop)8AWSクレデンシャル発行Generateリクエストアクセスキー発行
プロファイル名(A環境)/ ロール(describe-s3-bucket) ロール(readonly) プロファイル名(B環境)/ ロール(admin) ロール(develop)9AWSクレデンシャル発行Generateリクエストアクセスキー発行(readonly)
クラスター作成
クレデンシャル登録
クレデンシャル登録アクセスキー、シークレットキーを入力する。
クレデンシャル発行ポリシー名、付与する権限を入力する。
クレデンシャル発行IAM Userを選択してGenerateする。
クレデンシャル発行クレデンシャルをコピーしておく。
使ってみる
使ってみる🎉
裏側では..
20まとめ▶ Hashicorp Vaultを使うと、セキュリティは高められそうだけどもう少し学習が 必要そう。▶ OSS版に比べてSaas版は構築がとても楽。▶ Terraformやその他のサービスと上手くかけ合わせて使うみたいなところも 今後試していきたい。▶ また来年もがんばろー。