Sign up for freeGet started in minutes with our cloud products TerraformInfrastructure as code provisioning
【オンライン開催】ゼロからわかるHashiCorpでのハイブリッドクラウドジャーニー (2020/09/11 14:00〜)
ライブ配信 URL, ライブQ&A URL ライブ配信URL(Youtube Live) - https://youtu.be/WXFTPh7EnHY ライブQ&A URL - https://www.menti.com/w41hsgkg3m ライブ配信URL(サテライト配信) - https://youtu.be/M6thaDn9gZQ (※同一内容です) HCCJP(ハイブリッドクラウド研究会) 12回勉強会 (毎月第2金曜日14時~定期開催) HCCJPの勉強会ですが完全オンライン&生放送でこれから毎月定期的に実施します!毎月第2金曜日の14時から実施予定ですので、ぜひカレンダーに定期登録しておいて下さい! 2回目となる完全オンラインでのHCCJP!今回ももちろん皆さんからの質問にその場で回答するため生放送です! 第12回目となる今回の勉強会のテーマは「HashiCorp」です! プ
機密情報の暗号化や証明書の管理など、シークレット管理で利用するVaultを本番環境で利用するには、クラスタ構成を組むことを推奨します。クラスタ構成を組むことで可用性と耐障害性を高めることができます。今回は、「本番環境として利用できるVaultクラスタをAWS上に構築する(5分以内で!)」と題した記事を日本語訳してお届けします。著者のSean CarolanはHashiCorp社のテクノロジー・スペシャリストで、技術者だけでなくビジネスサイドにもわかりやすく技術を説明することを得意としています。 ところで、Vaultをご存じですか? HashiCorp社のVaultは、マルチクラウド環境で利用可能なAPIベースのシークレット管理システムで、パスワードや鍵、証明書を安全に管理します。Vaultは様々な暗号化やクレデンシャル管理を提供します。一時的に必要になるクラウドのクレデンシャルの配布やクレ
EKSにHashiCorp Vault with ConsulをHA構成でデプロイしてSecret管理させてみる - Qiita
はじめに みなさん、KubernetesのSecretはどのように管理されていますか? よく聞くOSSツールといえば、Kubesec、Sealed Secrets、External Secretsなどがあります。 それらとAWSのSecrets Manager等のクラウドマネージドサービスを連携して使う方法もありますね。 今回は、データストレージにHashiCorp Consulを使用するHashiCorp VaultクラスタをEKS上に作成して、hashicorp/vault-k8sを用いたサイドカー構成でSecret管理をさせてみたいと思います。 また、VaultはOSS版であってもWeb UIが提供されているのでそちらも合わせて構築したいと思います。 やりたいこと UIで秘匿情報を管理できる アプリケーションのデプロイ時にその秘匿情報を自動で埋め込んで欲しい 秘匿情報はひとつのVau
Use case¶ It’s a common requirement for shell scripts and python programs to store third-party passwords (SMTP passwords, secret API keys etc) and use them later. Where do you save them? Solutions and Pitfalls¶ Many people save this sensitive information as environment variables, because it is the most straightforward method. But it has serious security implications, particularly on shared hosting
本記事2019年7月13日に執筆しました。 本記事ではHashicorp VaultをSecret EngineとしてCloud KMSを使ってどのように使って構築できるかを試行錯誤した記事です。 そもそものシークレット問題シークレットに対して、セキュアにアクセスをできるようにするものです。以前、Cloud KMSを使ってセキュアにSecretをアプリケーションで復号化して使う方法を解説しました。 しかしながら、問題点は残っており、例えば、Cloud KMSを使うためのService Account Tokenがいずれにせよ渡されているわけで、Kubernetesのクラスタ内に侵入することができれば、簡単に参照できます。(これはHashicorp Vaultを使うだけでは直接解決されないのですが...) 例えば一例ですが、あるログサーバーへログインをできると、誰でもマシン内のシークレットに
特権アクセス管理(PAM)は、通常のユーザを超える特別なアクセス権または機能を持つIDを保護するための情報セキュリティ(Infosec)メカニズムです。他のすべての情報セキュリティソリューションと同様に、PAMは、ユーザ、プロセス、およびテクノロジーの組み合わせによって機能します。 特権アカウントは、テクノロジー環境にもたらすリスクがあるため、特別な注意をもって扱われます。例えば、管理者またはサービスアカウントの資格情報が犯罪者の手に渡った場合、組織のシステムと機密データが侵害される可能性があります。 攻撃者が特権アクセスアカウントを悪用するとき、データ漏洩が発生します。これらのアカウントはテクノロジー環境のすべての扉を開ける鍵を保持しているため、保護の追加レイヤを強化する必要があります。この追加のセキュリティが、特権アクセス管理ソリューションです。 テクノロジー環境では、特権アクセスは通
At its core, the move to cloud is often described as a shift in operating model for infrastructure. As we transition to cloud, we move from a relatively static world of dedicated servers, static IP addresses, and a clear network perimeter to the cloud model, which has dynamic pools of compute capacity provisioned on demand, dynamic IP addresses, and no clear perimeter. For security teams, this mod
Build your own certificate authority (CA) | Vault | HashiCorp Developer
58min|VaultVaultVideoVideoInteractiveInteractiveShow Terminal Vault's PKI secrets engine can dynamically generate X.509 certificates on demand. Services can request certificates without going through a manual process of generating a private key and Certificate Signing Request (CSR), submitting to a Certificate Authority (CA), and then waiting for the verification and signing process to complete. P
Supabase Vault
Today we're announcing Supabase Vault, a Postgres extension for managing secrets and encryption inside your database. Vault is a thin usability-layer on top of pgsodium. Transparent Column Encryption with Postgres is a blog post that describes the technology behind Vault - libsodium and pgsodium. Now, we will go through a quick example of storing a secret, like a service access token, into the Vau
はじめに Ansible を使用して VM インスタンスなどをセットアップする際に、ユーザー名とパスワード、TLS クライアント証明書、API キーなどの機密情報を扱うケースは多くあるかと思います。機密情報を Ansible Playbook と一緒にバージョン管理することは避けたいですし、Ansible 実行時に手動で用意するのも面倒です。このような背景を受けて、この記事では Vault Module を使用して Hashicorp Vault に保存した機密情報を Ansible で使用する方法を紹介します。 Vault Module とは Vault Module は Ansible コミュニティでメンテナンスされているサードパーティー製の Module で、こちらを使用することで Ansible 実行時に Vault から機密情報を取得することができます。 インストール方法 ans
VaultのSeal/Unsealについて見てみる(非開発サーバーで使ってみる) - CLOVER🍀
これは、なにをしたくて書いたもの? 前にVaultを試した時は、開発モードのサーバーでした。 Ubuntu Linux 20.04 LTSにVaultをインストールする - CLOVER🍀 今回は、開発モードにせずに使ってみたいと思います。 なんて呼んだらいいかわかりませんが、このエントリーのタイトルとしては「非開発サーバー」としておきます。 環境 今回の環境は、こちら。Ubuntu Linux 20.04 LTSです。 ~$ lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 20.04.3 LTS Release: 20.04 Codename: focal $ uname -srvmpio Linux 5.4.0-91-generic #102-Ubuntu
イオンスマートテクノロジーのCTO室SREチームの@hikkie13です。 過去の記事に記載がある通り、弊社ではHCP Vaultの導入を進めています。 導入には教育・学習が欠かせません。 その過程で得た知識を何回かに分けてまとめていこうと思います。(心が折れない限り) 今回は、Vaultのアーキテクチャや概要についてです。 HashiCorp Vaultとは クラウド運用モデルに適した、シークレットやアプリケーションデータを安全に保つクラウドセキュリティ基盤ツール。 主に以下の機能を有する。 シークレットの一元管理 データ暗号化 Vault Architecture https://developer.hashicorp.com/vault/docs/internals/architecture より引用 ユーザ、マシンはAPIを経由してVaultとやり取りをする。 Sto
この記事は さくらインターネット Advent Calendar 2023 1日目の記事です。 さくらインターネットの大久保です。ご無沙汰しております。 実は、昨日ちょっとした新機能のリリースを予定していて、今日はそれについての記事を書こうと思ってたんですが、 リリースが延期になってしまったので 代わりに、最近 HashiCorpさんのVault を触る機会があったので、今回はさくらのクラウド上で動かす方法を紹介したいと思います。(といいつつ、ほぼ自分向けメモです) HashiCorp Vaultとは? HashiCorpさんが開発されているオープンソースソフトウェアです。バックエンドシステムにてやりとりされるパスワードやクレデンシャルなど、シークレット情報を保管するためのシステムです。Webサイトはこちら。 様々なサイトで分かりやすい説明がなされているので、こちらではVault自体の詳細
クラウドワークス SREチームの @kangaechu です。アンタッチャブルのコンビ復活に目が離せないこの頃です。 クラウドワークス Advent Calendar 2019の4日目として、最近SREチーム内で使われるようになったツール、 aws-vault を紹介します。 背景 aws-vaultの話をする前に、少しだけAssumeRoleの話をします。 AssumeRole assumeは引き受けるなどの意味を持つ単語で、AWSを使用するユーザやリソースが本来持っている権限とは別の権限を引き受けることができるしくみです。ものすごいざっくりいうと、sudoコマンドのような感じです。AssumeRoleはどのようなときに便利なのでしょうか。 マルチアカウントでのIAMユーザ集約管理 リソースの分離や課金管理などを目的として、最近はAWS Organizationsを使用したマルチアカウン
Vault の TOTP Secrets Engine を使う
Vault には TOTP Secrets Engine があり、TOTP コードの生成や検証が可能になっている。 ここでは、TOTP Secrets Engine を利用し、Go からそれを利用する方法についてメモ程度に書く。 TOTP Secrets Engine を有効にする $ vault secrets enable totp デフォルトでは totp/ という Path になるので、必要に応じて -path オプションで変更する。 CLI で試す generate=true というオプションを渡すことで named key を作ることができ、 account_name と紐付けることができる。 ❯ vault write totp/keys/username generate=true issuer=Vault-TOTP-Demo account_name=user@examp
HashiCorp: 企業のクラウド戦略を加速する
Ondemand【オンデマンド配信】HashiCorp Strategy Day Japan 2023 日本を代表するエンタープライズ企業のお客様からゲストスピーカーをお招きし、各社様のクラウド利用におけるお取り組みや戦略、今後の展望、またHashiCorp製品の導入経緯と活用事例、効果についてご紹介いただきます。 安全なデータ管理に向けたPCIコンプライアンス: HashiCorp Vault活用方法と製品最新アップデート 本ウェビナーでは、PCIコンプライアンスに則りデータの安全な管理を実現するためのHashiCorp Vaultの活用方法を中心に解説します。新機能追加や進化する同製品の最新アップデートも併せて行います。
はじめに 最近触り始めたTerraform CLI。Terraformコマンドを実行する権限は、AWS CLIと同じく.aws/credentials、.aws/configを利用することができますが、MFA認証を使ったAssumeRoleを使う場合は、ひと手間が必要です。 MFA認証はエラーとなる IAMを利用している方は、ユーザーおよびパスワードだけじゃなくMFAを必須とするポリシーで運用されている方が多いと思います。また、環境分離でAWSアカウント間はスイッチロールする運用されている場合、aws:MultiFactorAuthPresentをtrueとするように設定している方も多いかと思います。Terraform CLIでも同じくMFAを必須とするよう、credentials、configにmfa_serialが指定されたprofileを指定して実行すると以下のエラーが発生します。
![[Terraform CLI]MFA認証を使ったAssumeRole。AWSVaultで解決 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/8a77b081e14c8d61a2e80498092f8ffb9b60da03/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Fterraform-eyecatch.png)
概要 HashiCorp VaultにはDynamic Secretsという期限の付いた認証情報を動的に生成してパブリッククラウドやDBへのアクセスをセキュアに保つ仕組みが用意されています。 課題・背景 秘密情報とその周辺の認証を一元化し、適切な暗号化・Auditなどをしっかりしたとしても以下の課題が残っています。 鍵情報を用意してもローテーション運用が大変 退職者が出るたびにローテーションしなきゃいけない 鍵の共有化 影響範囲が分からず削除できない 漏洩しても誰が使ったのか分からない 起動時だけ秘密情報が必要なのに永続的にどこかに残すのがセキュアでない ログやクラッシュレポートに秘密情報が吐き出されてしまったり ref: https://www.hashicorp.com/blog/why-we-need-dynamic-secrets Dynamic Secretsはそれを解決するため
クラウドワークス SREチームの @kangaechu です。アンタッチャブルのコンビ復活に目が離せないこの頃です。 クラウドワークス Advent Calendar 2019の4日目として、最近SREチーム内で使われるようになったツール、 aws-vault を紹介します。 背景 aws-vaultの話をする前に、少しだけAssumeRoleの話をします。 AssumeRole assumeは引き受けるなどの意味を持つ単語で、AWSを使用するユーザやリソースが本来持っている権限とは別の権限を引き受けることができるしくみです。ものすごいざっくりいうと、sudoコマンドのような感じです。AssumeRoleはどのようなときに便利なのでしょうか。 マルチアカウントでのIAMユーザ集約管理 リソースの分離や課金管理などを目的として、最近はAWS Organizationsを使用したマルチアカウン
あけましておめでとうございます。河内です。 数ヶ月前に aws-vault を使い始めて安全の高まりを感じるので紹介します。 AWSのサービス上では IAM Role をできるだけ使ってアクセスキーを使わないようにしていますが、ローカルでの開発時にIAMのアクセスキーを利用することはあります。 アクセスキーが漏れると困ったことになります。 本番環境で利用している AWS アカウントで漏れると、付与している権限次第では機密情報が漏洩したりサービスが壊される可能性があります。 また開発環境としてのみ利用しているAWSアカウントであっても、ビットコインのマイニングなどで容赦なくリソースを消費され高額な請求が来たりする可能性ががあります。 そのようなことが起きないようにアクセスキーは安全に管理する必要があります。 通常はAWS SDK のデフォルト参照先である ~/.aws/credentials
はじめに aws-vault はAWSのアクセスキーをキーチェーンに保存しています。 しかしながらmacOSのキーチェーンのデフォルトのタイムアウトが短すぎて頻繁にパスワードを求められて、普段遣いするにはちょっとうざいです。これ伸ばせないのかなと思ったらできたのでメモ。 環境 macOS 10.14 (Mojave) aws-vault v4.6.4 解決方法 調べたところ、aws-vaultでmacOSのキーチェーンのパスワードが求められるのは、ちょっとわかりにくいんんですが、実は3種類あるようです。 99designs/aws-vault #219: Constantly have to re-enter keychain password, part 2 Keychain locked => タイムアウトを伸ばすことで解決可能 キーチェーンの設定を開きます。 「aws-vault」の
概要 HashiCorp Vault(OSS版)における、RaftやClusterの基本的な動作のメモです。 前提条件 本記事は、こちら記事の内容に沿ってVault Cluster構成を組んだ環境での説明となります。 HashiCorp Vault HA Cluster構築 HashiCorp Vault 1.13.2 を使って確認した内容です。 Vaultは、Auto-Unseal を利用できるものとします。 はじめに Vault Cluster の管理に必要となる、Raft、Cluster、各ノードの管理、基本動作などを解説します。 障害防止のためにも、必ず押さえておくべき知識です。 Raftの動作 Raftのnodeの状態は、大きく3パターンあります non-voter : Raftに参加し、まだ安定性確保できていない状態 voter : Raftに参加し、一定時間経過で安定状態と見
概要 HashiCorp Vault(OSS版)にて、HA Clusterを構成します 前提条件 HashiCorp Vault 1.13.2 を使って確認した内容です。 AWS にて、AmazonLinux 2023 3台を使用します。 Vaultは、Auto-Unseal を利用できるものとします。(未設定の場合は利用できる状態まで済ませてください) AWSやEC2、ALB、DNSまわりの細かな設定は省略しますので、ご利用の環境にあわせて設定を行ってください。 上記以外の環境でも利用可能ですので、必要に応じて読み替えてください。 まだauto-unsealを利用していない場合は、こちらで切り替え方法のメモやリンクを載せてます unseal - auto-unseal 切り替え PC上で検証環境を作る場合でも、Transit Keyを使ったAuto-Unsealが利用可能です。 ※追加で
はじめに Vault は Terraform で有名な HashiCorp が提供する Secret Management 用のサービスであり、各サービスに使う認証情報や任意の key-value など種々の機密情報を一元管理することができます。 AWS の Secret Manager や GCP の Secret Manager など各クラウドプロバイダーで機密情報を管理するためのマネージドサービスがありますが、それと同じカテゴリのサービスという位置付けになっています。各種パッケージマネージャーや docker イメージ、helm など様々な方法で構築できるため(インストールページを参照)、今回は helm で k8s クラスタ上にインストールします。helm でインストールできる vault 関連のコンポーネントでは通常の vault server の他に k8s secret と連
AWSアクセスキーセキュリティ意識向上委員会って何? 昨今、AWSのアクセスキーを漏洩させてしまうことが原因でアカウントへの侵入を受け、 多額の利用費発生・情報漏洩疑いなど重大なセキュリティ事案が発生するケースが実際に多々起きています。 そこで、アクセスキー運用に関する安全向上の取組みをブログでご紹介する企画をはじめました。 アクセスキーを利用する場合は利用する上でのリスクを正しく理解し、 セキュリティ対策を事前に適用した上で適切にご利用ください。 AWS Valutとは AWSのアクセスキー/シークレットキーを安全に保存・利用するためのOSSソフトウェアです。 AWS CLIだけではなく、boto3等AWS SDKを用いた開発、 Terraform等のサードパーティアプリケーションでも利用することが出来ます。 AWS VaultはIAM認証情報をOSのキーストアに保存し、認証情報の利用時
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Announcing HCP Vault Public Beta
本番環境でも使えるVaultクラスタをAWS上に構築する(5分以内で!) | LAC WATCH
Vault — Vault v0.1.1 documentation
Hashicorp Vault with Cloud KMS on GKE|keke|note
特権アクセス管理(PAM)のやさしい解説 | OneLogin
Identity-based Security and Low-trust Networks
Hashicorp Vault に保存した機密情報を Ansible で使用する - Qiita
HashiCorp Vaultを何となく理解する(1):アーキテクチャ
さくらのクラウドでHashiCorp Vaultを動かすメモ - Qiita
aws-vault についてのあれこれ - Qiita
保管庫と Zenn リポジトリの作成|Obsidian.Zenn
[Terraform CLI]MFA認証を使ったAssumeRole。AWSVaultで解決 | DevelopersIO
HashiCorp VaultのDynamic Secrets - Carpe Diem
aws-vault についてのあれこれ - Qiita
aws-vault でアクセスキーを安全に - FLINTERS Engineer's Blog
aws-vaultのmacOSのキーチェーンのタイムアウトを伸ばす - Qiita
HashiCorp Vault HA Cluster 基本動作 - Qiita
HashiCorp Vault HA Cluster構築 - Qiita
kubernetes 上に HashiCorp vault を構築して機能を試す
AWS Vaultで端末内のAWSアクセスキー平文保存をやめてみた | DevelopersIO