Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Hashicorp VaultでAWSクレデンシャルの管理を楽にしたい

Yuki_Kurono
December 20, 2022
290

Hashicorp VaultでAWSクレデンシャルの管理を楽にしたい

[大阪開催] nakanoshima.dev #33 - LT Night ! のLT資料

Yuki_Kurono

December 20, 2022
Tweet

Transcript

  1. Hashicorp VaultでAWSクレデンシャルの
    管理を楽にしたい
    黒野 雄稀 | 2022/12/20
    1
    [大阪開催] nakanoshima.dev #33 - LT Night !

    View Slide

  2. 自己紹介
    黒野 雄稀 Yuki Kurono
    kurono_98
    kurono
    アイレット株式会社 所属 
    普段はインフラ設計・構築や運用構築に従事
    2022 APN ALL AWS Certifications Engineers
    2
    re:Invent 2022初参加!🎉

    View Slide

  3. 3

    View Slide

  4. 4
    主にできること
    ▶ ダイナミックシークレットの生成
    ▶ Transit Secrets Engine
    Vaultとは?
    https://developer.hashicorp.com/vault

    View Slide

  5. 5
    Transit Secrets Engine
    この仕組みを使うと、DBに平文で個人情報等をいれることが無くなる。
    https://developer.hashicorp.com/vault/tutorials/encryption-as-a-service/eaas-transit

    View Slide

  6. 6
    How to use Vault.
    セルフホスト

    View Slide

  7.   プロファイル名(A環境)/
       ロール(describe-s3-bucket)
       ロール(readonly)
      プロファイル名(B環境)/
       ロール(admin)
       ロール(develop)
    7
    AWSクレデンシャル発行
    Generate
    リクエスト

    View Slide

  8.   プロファイル名(A環境)/
       ロール(describe-s3-bucket)
       ロール(readonly)
      プロファイル名(B環境)/
       ロール(admin)
       ロール(develop)
    8
    AWSクレデンシャル発行
    Generate
    リクエスト
    アクセスキー発行

    View Slide

  9.   プロファイル名(A環境)/
       ロール(describe-s3-bucket)
       ロール(readonly)
      プロファイル名(B環境)/
       ロール(admin)
       ロール(develop)
    9
    AWSクレデンシャル発行
    Generate
    リクエスト
    アクセスキー発行
    (readonly)

    View Slide

  10. クラスター作成

    View Slide

  11. クラスター作成

    View Slide

  12. クレデンシャル登録

    View Slide

  13. クレデンシャル登録
    アクセスキー、シークレットキーを入力する。

    View Slide

  14. クレデンシャル発行
    ポリシー名、付与する権限を入力する。

    View Slide

  15. クレデンシャル発行
    IAM Userを選択してGenerateする。

    View Slide

  16. クレデンシャル発行
    クレデンシャルをコピーしておく。

    View Slide

  17. 使ってみる

    View Slide

  18. 使ってみる🎉

    View Slide

  19. 裏側では..

    View Slide

  20. 20
    まとめ
    ▶ Hashicorp Vaultを使うと、セキュリティは高められそうだけどもう少し学習
    が  必要そう。
    ▶ OSS版に比べてSaas版は構築がとても楽。
    ▶ Terraformやその他のサービスと上手くかけ合わせて使うみたいなところも
      今後試していきたい。
    ▶ また来年もがんばろー。

    View Slide