HashiCorp 社から、新たなソフトウェアである Vault by HashiCorp がリリースされました。 - HashiCorp Blog: Vault この Vault について、Getting Started を一通り実施した後に Docs の一部を確認してみたので、簡単にその内容をまとめてみます。 Vault とは何なのか Vault を一言で言うと、機密情報(Secret) を管理するツールです。 これだけ IT が広がっている現在、機密情報の範囲も広がり続けており、データベースにアクセスするためのユーザ/パスワードや、連携するシステムの API キー等、多岐に渡ります。こういった情報、おまえのところのシステムではどう管理してた?XML に生で書いてる、あるよねそういうの。jdbc.properties に直書き、うんうんわかるわかる。ちょっとがんばったら crypt で
Today we announce Vault—a tool for securely managing secrets and encrypting data in-transit. From storing credentials and API keys to encrypting passwords for user signups, Vault is meant to be a solution for all secret management needs. A modern system requires access to a multitude of secrets: credentials for databases, API keys for external services, credentials for service-oriented architectur
HashiCorp から新しいツール Vault がリリースされました。credentialや機密情報的なものを管理するためのツール。例によって参考訳です。変なところありましたら、ご指摘いただけると助かります。 Vault – HashiCorp https://hashicorp.com/blog/vault.html ※今回も一応書いておきますと、本blogでの投稿は私個人の意志によるものであり、所属する組織の意見を代表するものでもなく、仕事でもなく、誰からの指示をうけているわけでもなく、すべて興味本位であり、ぶっちゃけ好き勝手に書いています。これまでも、これからも。 ■ Vault 機密情報を管理するツール 今日私達は Vault という安全な機密情報の管理と暗号化データ転送を行うツールを発表します。credential や API 鍵の保管から、ユーザ・サインアップ用のパスワードの
私はパスワードやトークンなどを 1Password に保存しています。これらを環境変数として利用したい場合、クリップボードにコピーして set か export して環境変数にセットするか、頻繁に利用するものであれば envchain を利用していました。 envchain はとても便利なのですが、私は Mac と Linux、それから Windows もたまに使っているため、 keychain や Gnome Keyring でそれぞれ保存するのが手間に思っていました。どうせ 1Password に保存しているので、そこから取得してしまえば良いと思い、 openv というツールを作りました。 GitHub - mrtc0/openv: A tool that uses the credentials stored in 1password as an environment variab
エンジニアの内田 @spesnova です。 2015年8月5日に、@deeeet さんと一緒に Wantedly のオフィスにて Hashicorp Product Meetup と称して、 Hashicorp プロダクトに関する知見、悩み、展望 etc をフランクに共有する会を開きました。 参加者全員がゆるくざっくばらんに話せる場を作りたいと思って招待制のイベントにしました。 参加者の方は @deeeet さんと自分の知り合いの方から、Hashicorpプロダクトを既に利用していたり、導入予定の方々にお声をかけせて頂き、その方々がまた数名招待するという形にしました。 「行きたかった…」というツイートもチラホラありました、、参加できなかった方ごめんなさい。。 どんな内容だったのかをtogetterと以下に簡単にまとめておきます: http://togetter.com/li/856947
Vaultとは 最近のアプリでは、データベースやAWS等、必ずといっていいほど外部システムとの連携があります。 その際に必要になるのが、パスワードやキー情報などの機密情報です。 そういった機密情報の管理は、特に注意しなければいけません。 例えば、大事なAWSキー情報やパスワードを、プログラム中やプロパティファイルに記述して、 それをGithubのようなリポジトリにpushしてしまったら、大変なことになってしまいます。 そういったミスをしないよう、安全に機密情報を管理するためのツールが、今回紹介するVaultです。 Vaultとは機密情報を管理するためのツールであり、クライアント/サーバ形式で動きます。 Vaultを使用するには、まずサーバを起動し、そこに対して機密情報を登録します。 その後、コマンドラインやHTTPでアクセスすることで、登録した情報を取得することができます。 Vaultの特
技術部 SRE グループの鈴木 (id:eagletmt) です。 クックパッドでは Amazon ECS をオーケストレータとして Docker を利用しています。Docker 自体は2014年末から本番環境にも導入を始めていましたが当時はまだ ECS が GA になっておらず、別のしくみを作って運用していました。2015年4月に GA となった ECS の検討と準備を始め、2016年より本格導入へと至りました。クックパッドでは当初から Hako というツールを用いて ECS を利用しており、Hako の最初のコミットは2015年9月でした。 https://github.com/eagletmt/hako/commit/7f95497505ef78491f3f68e9d648204c7c9bb5e2 当時は ECS に機能が足りずに自前で工夫していた部分も多かったのですが、ECS やそ
Identity-based securityVault brokers and deeply integrates with trusted identities to automate access to secrets, data, and systems. Application and machine identitySecure applications and systems with machine identity and automate credential issuance, rotation, and more. Enable attestation of application and workload identity, using Vault as the trusted authority. User identity with VaultLeverage
はじめに 私が所属するaslead DevOpsチームでは、日々変化するユーザの開発サーバ構成に対して、セキュリティを保ちつつ開発業務の効率化・自動化ができないかを検討しています。 この記事では、AWSにログインして作業するIAMユーザの扱い方についてご紹介します。AWSの中でもセキュリティの基礎となる重要サービスであり、ユーザの棚卸しや権限の管理に時間を割かれているチームも多いのではないでしょうか。 そこで、Hashicorp社が提供しているVaultを利用し、作業のタイミングでIAMユーザを作成し、終わったら削除するアプローチを考えてみます。IAMユーザの作成自体はVaultの標準機能ですが、複数アカウントの権限制御ができるスイッチロールとの組み合わせを提案します。 Vaultとは (画像は https://medium.com/hashicorp-engineering/vault-
こんにちは。Backlog のSite Reliability Engineering (SRE) を担当している吉澤です。 AWS アクセスキーを含むコードを GitHub の公開リポジトリにプッシュしてしまい、そのアクセスキーがビットコインの採掘に使われて AWS から高額請求が来た!という話をたまに目にします。今年の2月に検証された方(GitHub に AWS キーペアを上げると抜かれるってほんと???試してみよー!)によると、git push から13分で不正利用開始されたらしいです。怖いですね……。 Backlog のソースコードは Backlog の提供する Git リポジトリで管理しています。Backlog の Git にはリポジトリの公開機能はないので、AWS アクセスキーをプッシュしたからといって即座に悪用される可能性は低いです。とはいえ、漏洩時の影響が大きいため、AWS
AWSアクセスキーセキュリティ意識向上委員会って何? 昨今、AWSのアクセスキーを漏洩させてしまうことが原因でアカウントへの侵入を受け、 多額の利用費発生・情報漏洩疑いなど重大なセキュリティ事案が発生するケースが実際に多々起きています。 そこで、アクセスキー運用に関する安全向上の取組みをブログでご紹介する企画をはじめました。 アクセスキーを利用する場合は利用する上でのリスクを正しく理解し、 セキュリティ対策を事前に適用した上で適切にご利用ください。 AWS Valutとは AWSのアクセスキー/シークレットキーを安全に保存・利用するためのOSSソフトウェアです。 AWS CLIだけではなく、boto3等AWS SDKを用いた開発、 Terraform等のサードパーティアプリケーションでも利用することが出来ます。 AWS VaultはIAM認証情報をOSのキーストアに保存し、認証情報の利用時
最近、5kgの重しを背負って懸垂していますプリンシパルエンジニアの @linyows です。 みなさん、NHKの「筋肉は裏切らない!」(正しくは筋肉体操)見てますか? … はい。ですよね。 GMOペパボは、ロリポップ!やminneなど様々なサービス(microservices的なものではない)を運営しており、それぞれにおいて、秘密情報を管理している状態にあります。この秘密情報を独自に管理するのは、専門のスキルやノウハウとしてあらゆるコストがかかります。 そこで僕(ら)は、秘密情報管理ソフトウェアであるHashiCorp Vaultを各サービスに導入し、サービスを堅牢にするというゴールをもとに社内でVaultのWorkshopを幾度となく開催しています。 今回は、そのWorkshop「やわらかVault」のご紹介です。 やわらかVault これは、HashiCorp Vaultを正しく理解し
メルペイの Infrastructure as Code について、 HashiCorp Certified: Terraform Associate を受験した SRE に聞いてみた こんにちは。メルペイ Engineering Office チームの kiko です。先月、 HashiCorp Certified: Terraform Associate がリリースされましたね。早速 @tjun さん(メルペイ SRE, Engineering Manager )と @keke さん(メルペイ SRE )が受験していました。というわけで、今回はこのお二人に、試験の話とメルペイの Infrastructure as Code について聞いてみました。 サマリー メルペイでは、クラウドのリソースや Datadogのダッシュボードなど様々なことをTerraformでコード化して管理している
オレゴン州ポートランドで HashiConf 2015 という、HashiCorp 社主催のカンファレンスが9月28日、29日の2日間にわたって開催されました。参加者は総勢300人。北米からだけでなく、知りうる限り、オランダ、ドイツ、オーストラリアや、インド、もちろん日本からも含めて、多くの国からの参加者が集まりました。 この記事は、1日目(現地時間9月28日・月曜日)と2日目それぞれ冒頭の「Opening Keynote」について、ざっくりと日本語で整理したものです。一応、私も現地で参加させていただくことができましたので、内容を共有させていただきます。 最後におまけとして、ポートランド情報と ESTA 再入国時の手続きが楽な件について。 ■ KeyNote 1日目まとめ HashiCorp の概要 Vagrant のプロジェクトをスタートしてから、Packer、Serf、Consul等々
HashiCorp TerraformのフォークであるOpenTofuに続いて、HashiCorp Vaultのフォークとして新プロジェクト「OpenBao」がLinux Foundation Edge傘下で進んでいることが明らかになりました。 OpenTofuに続いてOpenBaoがフォーク HashiCoprは今年(2023年)8月、それまでMozilla Public License v2.0(MPL2.0)のオープンソースライセンスで提供していたTerraformやVaultなど同社製品のライセンスを、商用利用に制限があるBusiness Source License v1.1(BSL1.1)に変更すると発表しました。 このライセンス変更に反発した開発者達が中心となり、2023年9月にLinux Foundation傘下でTerraformのフォークである「OpenTofu」が立ち
ようやくはてなブログに移りました。 ということでその最初の記事を書く。 LinuxのアカウントはLDAP(やらIPA Server)とか使えば統合管理できるのだけど、MySQLのアカウント管理を一箇所で統合的に管理しようと思うと、その権限なども含めるとなんかよいソリューションがないように思える。 イヤ、こういうのあるよってあれば教えてください。 そこで、HashiCorpのVaultとLDAPを組み合わせると、ちょっとそれらしくMySQLのアカウント管理できるのではないかと思ってそれを試してみた。 Vault 起動 今回は、おおよそこういうことができる、ということを確認することが目的なので、Vault自体の可用性とかまで考えない。 dev モードで起動する。 $ vault server -dev 表示される root Token を使って、root として Vault にログインする。以
ミッチェル・ハシモト氏に、自動化とクラウド、そして日本について聞いた:HashiCorp共同創業者インタビュー(1/2 ページ) Vagrantから始まったミッチェル・ハシモト氏の旅。同氏が共同創業したHashiCorpは、多様なクラウドインフラの利用を抽象化し、自動化する包括的な製品群を提供するようになっている。一方、HashiCorpは、ハシモト氏の父の国である日本での本格的活動を開始。国内のコミュニティおよびパートナー支援を進めている。HashiConf ‘17の翌週に来日したハシモト氏に、HashiCorpの「今」を聞いた。 ミッチェル・ハシモト(Mitchell Hashimoto)氏が7年前の2010年に、アルバイトで顧客の多数のコンピュータを設定する作業を自動化するために作った「Vagrant」は、インフラ構築をコマンド1つでできるツールとして、開発者に大人気となった。 ハシ
ども、ゲストのNTT東日本 大瀧です。 本日IAMロールAnywhereがリリースされました。IAMロールAnywhereは、AWSの認証基盤であるIAMの認証をPKI(公開鍵基盤)に外出しできる仕組みです。本ブログでは、手軽に試せるPKIとしてHashicorp Vaultを試す様子をご紹介します。 動作確認環境 OS : Ubuntu 20.04.4 LTS Vault : バージョン v1.11.0 AWS : 東京リージョン 1. Hashicorp Vaultのセットアップ まずはPKIのCA(認証局)となるVaultサーバーを立ち上げます。Vaultのダウンロードページの [Linux] - [LINUX BINARY DOWNLOAD]で Amd64 のリンクをコピーし、 wget の引数にしてダウンロードします。 $ wget https://releases.hashic
PackerBuild and manage images as code
今日はAnsible VaultというAnsibleの暗号化ツールの紹介です。 Ansible Vault Ansibleは各種設定をYAML形式で記載していきます。YAMLは単なるテキスト情報ですので、そのファイルを開く権限さえ持っていれば誰でもそこに記載された情報を確認することができます。ですが、例えばプロジェクト内でAnsibleのPlaybookを共有する時に、SSHの秘密鍵やDBへの接続情報などの秘密情報は、プロジェクトメンバー全員が知る必要はないはずです。 そういった時にAnsible Vaultを使うと、ファイルの内容が暗号化され、ファイルを開いただけでは内容を確認することができなくなります。公開すべきでない情報に関してはAnsible Vaultを利用して暗号化しておきましょう。 早速試してみます。 導入 Ansible Vaultは、Ansibleをインストールすると一緒
本稿は Managing Secrets with Chef Vault (2013/09/19) の和訳です。 本記事(訳注:原文)はjtimberman's Code Blogに掲載されたものです。 2年前、PostfixのSASL認証のためにChefの暗号化Data Bagを使う記事を書きました。当時、私のISPが認証なしのSMTPを許可していなかったので、自宅サーバからのcronメールやその他重要なメールを受け取るための解決策を見つけなければいけませんでした。そのあたりをあまり気にしないISPに変更してから、その記事で書いたコードはもう使っていません。 しかし、それは秘密情報を扱わないことを意味するものではありません! 実際、Chefで管理している個人システムでは扱っていませんが、OpscodeのホステッドEnterprise Chef環境ではもちろん扱っています。ウェブアプリケー
HashiCorpは、ソフトウェア実行時に必要となるトークンやパスワードといった、いわゆるシークレットを安全に保管し提供するクラウドサービス「HCP Vault Secrets」をパブリックベータとして公開したことを発表しました。 同社はシークレットを管理するソフトウェアとして、以前からオープンソース版の「Vault」を公開しており、それを企業向けに強化した商用版のソフトウェア「Vault Enterprise」、そしてVault Enterpriseをクラウド上でマネージドサービスとして提供する「HCP Vault」を既に提供しています。 今回パブリックベータとなった「HCP Vault Secrets」は、HCP Vaultをシンプルにし使いやすくしたサービスであり、HTTP専用で、HCP Vaultのクラスタサイズやバージョンなどの構成を気にすることなく、サーバレスのようなサービスと
Ansible 1.5 から DB のパスワードや API の認証情報といった機密情報を暗号化する Vault 機能が提供されています。 あらかじめ設定したパスワードを使って機密ファイルを共通鍵認証で暗号化する機能ですが、そもそも Vault 機能を信じても大丈夫なのでしょうか? 機密情報を任せるのであれば、どういった暗号アルゴリズムで処理されているのかちゃんと理解しておきたいものです。 というわけで、ansible-vault コマンドの実装を読んでみました。今回読んだのは 5/25 にリリースされた v2.1.0.0-1 です。 GitHub 上のソースコードへリンクを貼っているので、詳しく読みたい方は参考にしてください。 Ansible のソースコードを読み解く ansible-vault コマンドの実体は lib/ansible/cli/vault.py です。 lib/ansib
HashiCorp(ハシコープ)は2022年8月3日、マネージドクラウドプラットフォーム「HashiCorp Cloud Platform(HCP)」の日本リージョンを今秋から提供開始すると発表した。このHCP日本リージョンを利用して、まずはクラウドセキュリティを自動化する「HCP Vault」と、クラウドのネットワーキング/サービスメッシュを管理する「HCP Consul」の2サービスを提供する。2022年10月末~11月初旬の提供開始予定。 同日開催された記者説明会では、HashiCorp Japan カントリーマネージャーの花尾和成氏がHCPの概要のほか、国内におけるHashiCorpのビジネスアップデートと今後の戦略を説明した。またゲストとして「Terraform Cloud」を導入、活用している自動車部品メーカーのアイシンも出席し、具体的な活用内容やマネージドサービスを採用した理
前回は Blog への投稿文の訳でした。今回は Vault サイト https://www.vaultproject.io/ 上の導入ガイドであり、引き続き Vault 概要を掘り下げた内容になります。Vault の登場背景や他のツールとの違いの理解に繋がればと思っています。 次回余裕があれば、Getting Started Guide を予定しています。 —- ■ Introduction to Vault – Vault 入門 https://www.vaultproject.io/intro/index.html Vault 入門ガイドへようこそ! 当ガイドは Vault を使い始めるのにベストな場所です。ここでは、Vault とは何か、どのような問題を解決できるのか、既存のソフトウェアと比較するとどうなのか、そして、Vault のクイック・スタートに関してを扱います。 ■ Vau
LastPass is best experienced through your browser extension. Install LastPass for Firefox to automatically login to sites as you browse the web.
Vaultとは VaultはHashiCorpが2015年4月28日にリリースしたソフトウェアです。リリース時のブログは以下をご参照下さい。 Vault Vaultは、機密情報を管理するためのソフトウェアです。現在の情報システムでは機密情報は多岐にわたり、ユーザー名やパスワードはもちろん、APIキーや証明書など、様々な種類のものが様々な形式で存在します。また保存される場所も違うし、場所が違うってことはアクセス制御のやり方や管理の仕方も違います。こういった機密情報を統合的に一貫して管理しアクセスコントロールするものがVaultです。クライアント/サーバ型で動作し、クライアントで機密情報の保管や取得のコマンドを実行し、機密情報自体はサーバに保管されます。 なお2018年2月5日時点での最新バージョンは0.9.3です。 Vaultの主な機能 Vaultの主な機能は次のとおりです。 Secure
Vault 0.3がリリースされたときにSSHに関する機能が実装されたと言うのを見て気になっていたのですが、なかなか試せずにいたのですが、先日HashiCode#2に参加したので、その勢いで試してみました。 Vault の SSH Secret Backend はもの凄く大ざっぱに言うとVaultがSSHのパスワードや公開鍵の管理を行ってくれる機能です。 使うもの Vault 0.3以上 OpenSSH vault-ssh-helper CentOS 7.0 ディストリはGentooでも何でも SSH Secret Backend まずは Vault について理解を深めるためにGetting Startedを行ってみるとよいと思います。 $ vault server -dev このように-devを付けて起動すると何も考えずに各種機能を試せます。 この dev モードはメモリだけで動作するの
PackerBuild and manage images as code
9/28、Vault の新バージョンのリリースに関する HashiCorp のブログ投稿がありました。今回の目玉はSSHバックエンドで鍵の動的生成サポートです。例によって参考訳です。 ■ Vault 0.3 私達は Vault 0.3 をリリース出来ることを誇りに思います。Vault はシークレット(訳者注;認証鍵やAPI鍵など、秘密にしておくべき情報を総称したもの)の管理ツールです。証明書や API 鍵といった機密事項を扱うデータを暗号化して保管することで、Vault は全てのシークレット管理に必用なソリューションとなるつもりです。 Vault 0.3 は多くの新機能が提供されています。新機能は「ssh」バックエンド、「cubbyhole」バックエンド、新機能や「transit」バックエンドの改良、グローバルまたはマウントごとのデフォルト/最大 TTL の設定、アンシール鍵(unseal
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く