やわらかVault - Pepabo Tech Portal
最近、5kgの重しを背負って懸垂していますプリンシパルエンジニアの @linyows です。 みなさん、NHKの「筋肉は裏切らない!」(正しくは筋肉体操)見てますか? … はい。ですよね。 GMOペパボは、ロリポップ!やminneなど様々なサービス(microservices的なものではない)を運営しており、それぞれにおいて、秘密情報を管理している状態にあります。この秘密情報を独自に管理するのは、専門のスキルやノウハウとしてあらゆるコストがかかります。 そこで僕(ら)は、秘密情報管理ソフトウェアであるHashiCorp Vaultを各サービスに導入し、サービスを堅牢にするというゴールをもとに社内でVaultのWorkshopを幾度となく開催しています。 今回は、そのWorkshop「やわらかVault」のご紹介です。 やわらかVault これは、HashiCorp Vaultを正しく理解し
HashiCorp Vaultのポリシーを使いこなす | DevelopersIO
はじめに 前回、Root以外のユーザーを追加しましたが、その際にdefaultというポリシーが適用されていました。HashiCorp Vaultではポリシーにって各ユーザーのアクセス制限を行います。 今回はこのPolicyについて調査し、実際にやってみました。 やってみた ポリシーファイルの書き方 ポリシーはサーバ起動時のConfigと同様に、 HCLまたはJSONで記載する必要があります。今回はHCLを使います。 ポリシーファイルの記載方法は以下のように、path毎にブロックを記載します。 path "secret/a" { ... } path "secret/b" { ... } ブロックの中に記載する要素は4つあります。 capabilities required_parameters allowed_parameters denied_parameters capabilitie
HashiCorp Vaultの認証方法を変更しユーザー名とパスワードでログインする | DevelopersIO
はじめに Vault Serverの認証方式はデフォルトでToken方式であり、Tokenとして設定された文字列を入力することで、対象の権限でログインすることが出来ます。これは無効にすることは出来ません。しかし、他の認証方法を用いることが出来ます。使える認証方式は以下の通りです。 AppRole AWS Google Cloud Kubernetes GitHub LDAP Okta RADIUS TLS Certificates Tokens Username & Password これらの認証方式によって認証されることで、内部的にはトークンを取得した上でトークンを使ってログインしています。 さて、今回は手始めに、一番簡単なユーザー名とパスワードを使ったログインをしてみます。 やってみた 準備 以前の記事でもやっていたとおりに、サーバ側でVault Serverを起動しておきます。 クラ
HashiCorp Vault Serverのストレージにファイルシステムを使う | DevelopersIO
はじめに 今回はVault Serverのストレージとしてファイルシステムを使ってみます。 やってみた サーバ側の作業 Vault Server起動時に指定するConfigファイルを作成します。storage項目でfileを指定します。また前回同様にオレオレ証明書でTLSを有効にしています。 storage "file" { path = "/home/ec2-user/vault" } listener "tcp" { address = "EC2のプライベートIPアドレス:8200" tls_cert_file = "/home/ec2-user/vault-server.crt" tls_key_file = "/home/ec2-user/vault-server.key" } ファイルシステムを使う場合のパラメータはpathのみです。 Vault Serverを起動します。Sto
HashiCorp Vault ServerをAmazon EC2に構築する | DevelopersIO
はじめに 前回はHashiCorp Vaultについての基礎知識を確認し、ローカルPC(MacBook Pro)にDev Serverとして導入してみました。 今回はAmazon EC2上にHashiCorp Vault Serverを構築し、ローカルPCから接続してみます。 やってみた サーバ側作業 Amazon EC2を起動します。OSはAmazon Linux 2017.09です。まずはビルドに必要となるGolangをインストールします。 $ sudo yum install go ところが、ここでインストールされるGolangは1.8.4で、HashiCorp Vaultに必要な1.9以上ではありません。 $ go version go version go1.8.4 linux/amd64 そこで、最新バージョンであるGolang 1.9.3を取得し、/usr/local下に展開
VaultのSSH Secret Backendを使ってみる | ただのメモ
Vault 0.3がリリースされたときにSSHに関する機能が実装されたと言うのを見て気になっていたのですが、なかなか試せずにいたのですが、先日HashiCode#2に参加したので、その勢いで試してみました。 Vault の SSH Secret Backend はもの凄く大ざっぱに言うとVaultがSSHのパスワードや公開鍵の管理を行ってくれる機能です。 使うもの Vault 0.3以上 OpenSSH vault-ssh-helper CentOS 7.0 ディストリはGentooでも何でも SSH Secret Backend まずは Vault について理解を深めるためにGetting Startedを行ってみるとよいと思います。 $ vault server -dev このように-devを付けて起動すると何も考えずに各種機能を試せます。 この dev モードはメモリだけで動作するの
[和訳] Chef Vaultで秘密情報を管理する #getchef « CREATIONLINE, INC.
本稿は Managing Secrets with Chef Vault (2013/09/19) の和訳です。 本記事(訳注:原文)はjtimberman's Code Blogに掲載されたものです。 2年前、PostfixのSASL認証のためにChefの暗号化Data Bagを使う記事を書きました。当時、私のISPが認証なしのSMTPを許可していなかったので、自宅サーバからのcronメールやその他重要なメールを受け取るための解決策を見つけなければいけませんでした。そのあたりをあまり気にしないISPに変更してから、その記事で書いたコードはもう使っていません。 しかし、それは秘密情報を扱わないことを意味するものではありません! 実際、Chefで管理している個人システムでは扱っていませんが、OpscodeのホステッドEnterprise Chef環境ではもちろん扱っています。ウェブアプリケー
![[和訳] Chef Vaultで秘密情報を管理する #getchef « CREATIONLINE, INC.](https://cdn-ak-scissors.b.st-hatena.com/image/square/4ea7496ee16b62705bf20b652e09444d607a324e/height=288;version=1;width=512/https%3A%2F%2Fwww.creationline.com%2Fwp-content%2Fuploads%2F2013%2F01%2Fcl-logo.png){kind=logo}
HashiCorp社が出したVaultとはどういうものなのか - 理系学生日記
HashiCorp 社から、新たなソフトウェアである Vault by HashiCorp がリリースされました。 - HashiCorp Blog: Vault この Vault について、Getting Started を一通り実施した後に Docs の一部を確認してみたので、簡単にその内容をまとめてみます。 Vault とは何なのか Vault を一言で言うと、機密情報(Secret) を管理するツールです。 これだけ IT が広がっている現在、機密情報の範囲も広がり続けており、データベースにアクセスするためのユーザ/パスワードや、連携するシステムの API キー等、多岐に渡ります。こういった情報、おまえのところのシステムではどう管理してた?XML に生で書いてる、あるよねそういうの。jdbc.properties に直書き、うんうんわかるわかる。ちょっとがんばったら crypt で
Vault参考訳 | Pocketstudio.jp log3
HashiCorp から新しいツール Vault がリリースされました。credentialや機密情報的なものを管理するためのツール。例によって参考訳です。変なところありましたら、ご指摘いただけると助かります。 Vault – HashiCorp https://hashicorp.com/blog/vault.html ※今回も一応書いておきますと、本blogでの投稿は私個人の意志によるものであり、所属する組織の意見を代表するものでもなく、仕事でもなく、誰からの指示をうけているわけでもなく、すべて興味本位であり、ぶっちゃけ好き勝手に書いています。これまでも、これからも。 ■ Vault 機密情報を管理するツール 今日私達は Vault という安全な機密情報の管理と暗号化データ転送を行うツールを発表します。credential や API 鍵の保管から、ユーザ・サインアップ用のパスワードの
Vault by HashiCorp
Identity-based securityVault brokers and deeply integrates with trusted identities to automate access to secrets, data, and systems. Application and machine identitySecure applications and systems with machine identity and automate credential issuance, rotation, and more. Enable attestation of application and workload identity, using Vault as the trusted authority. User identity with VaultLeverage
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
HTTP API: Libraries | Vault | HashiCorp Developer
やって覚えるVault の記事一覧 | DevelopersIO