Upgrade to Pro — share decks privately, control downloads, hide ads and more …

BerglasとCloud Buildを使って秘密情報をセキュアに(できるかも) / Berglas with Cloud Build

yukinagae
October 01, 2019

BerglasとCloud Buildを使って秘密情報をセキュアに(できるかも) / Berglas with Cloud Build

yukinagae

October 01, 2019
Tweet

More Decks by yukinagae

Other Decks in Technology

Transcript

  1. Berglas
    とCloud Build
    を使って
    秘密情報をセキュアに
    (できるかも)
    Google Cloud Build Day - 2019/10/01
    @yukinagae

    View full-size slide

  2. TL;DR
    Berglas
    Cloud KMS
    とCloud Storage
    を使って秘密情報を
    暗号化できる
    CLI
    もライブラリも用意されている
    CLI
    でのデモ

    View full-size slide

  3. 自己紹介
    永江悠紀 @yukinagae
    エムスリー株式会社 ソフトウェアエンジニア
    データエンジニア寄り。最近はレコメンド改善
    などもやる
    元々Java/Scala
    でサーバサイドの開発をやっていた
    最近はGo + Python
    を触ることが多い
    クラウドはGCP
    担当(※AWS
    わからないだけ)

    View full-size slide

  4. やりたいこと
    DB
    パスワードやCredential
    のJSON
    などの秘密情報
    をどうGKE
    クラスタ内のコンテナに設定するか?
    CI
    の環境変数に文字列を設定する?
    CI
    の環境変数にキー文字列を設定 + CI
    上で復号
    Berglas
    とCloud Build
    で秘密情報もセキュアに扱え
    るのでは?
    Cloud KMS
    でキー文字列は管理されている
    キーで暗号化してCloud Storage
    に保存
    サービスアカウント毎にその秘密情報へのアク
    セスを権限管理

    View full-size slide

  5. やってみる
    https://github.com/yukinagae/berglas-cloud-build-
    example

    View full-size slide

  6. 参考資料
    GitHub - GoogleCloudPlatform/berglas: A tool for
    managing secrets on Google Cloud
    GitHub - berglas/examples/cloudbuild

    View full-size slide