Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
HCP Vault Secrets でシークレット管理を始めよう / Getting Star...
Search
ののし
November 14, 2024
Technology
0
130
HCP Vault Secrets でシークレット管理を始めよう / Getting Started with Secret Management Using HCP Vault Secrets
HashiTalks: Japan 2024 で投影した資料です。
ののし
November 14, 2024
Tweet
Share
More Decks by ののし
See All by ののし
Azure Developer CLI と Azure Deployment Environment / Azure Developer CLI and Azure Deployment Environment
nnstt1
1
210
Terraform にコントリビュートしていたら Azure のコストをやらかした話 / How I Messed Up Azure Costs While Contributing to Terraform
nnstt1
1
630
進化するクラウド管理 -Azure と Terraform の最新トレンド- / Evolving Cloud Management - Latest Trends in Azure and Terraform
nnstt1
0
28
今から、 今だからこそ始める Terraform で Azure 管理 / Managing Azure with Terraform: The Perfect Time to Start
nnstt1
0
370
HashiCorp Ambassador が予想!Red Hat × HashiCorp の未来 / The Future of Red Hat and HashiCorp
nnstt1
1
190
Terraform を使った Front Door の小ネタ / Terraform for Front Door
nnstt1
0
160
つまずきから学ぶ Backstage の Golden Path 構築
nnstt1
2
1.3k
Azure ユーザに捧げる Terraform Cloud 101 / Terraform Cloud 101 for Azure Users
nnstt1
0
530
AKS と HCP Vault の組み合わせでつまずいた話 / Stumbles with AKS and HCP Vault combination
nnstt1
1
140
Other Decks in Technology
See All in Technology
Model Mondays S2E01: Advanced Reasoning
nitya
0
240
Devin(Deep) Wiki/Searchの活用で変わる開発の世界観/devin-wiki-search-impact
tomoki10
0
230
20250612_GitHubを使いこなすためにソニーの開発現場が取り組んでいるプラクティス.pdf
osakiy8
1
560
Test Smarter, Not Harder: Achieving Confidence in Complex Distributed Systems
eliasnogueira
1
150
ソフトウェア開発現代史: "LeanとDevOpsの科学"の「科学」とは何か? - DORA Report 10年の変遷を追って - #開発生産性_findy
takabow
1
350
Eight Engineering Unit 紹介資料
sansan33
PRO
0
3.4k
AWS全冠したので振りかえってみる
tajimon
0
110
開発効率と信頼性を両立する Ubieのプラットフォームエンジニアリング
teru0x1
0
130
Grafana MCP serverでなんかし隊 / Try Grafana MCP server
kohbis
0
310
上長や社内ステークホルダーに対する解像度を上げて、より良い補完関係を築く方法 / How-to-increase-resolution-and-build-better-complementary-relationships-with-your-bosses-and-internal-stakeholders
madoxten
13
7.1k
Data Hubグループ 紹介資料
sansan33
PRO
0
1.8k
「伝える」を加速させるCursor術
naomix
0
590
Featured
See All Featured
4 Signs Your Business is Dying
shpigford
183
22k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.9k
The Power of CSS Pseudo Elements
geoffreycrofte
77
5.8k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
252
21k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
50k
We Have a Design System, Now What?
morganepeng
52
7.6k
The Art of Programming - Codeland 2020
erikaheidi
54
13k
Automating Front-end Workflow
addyosmani
1370
200k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
6
680
Become a Pro
speakerdeck
PRO
28
5.4k
Stop Working from a Prison Cell
hatefulcrawdad
269
20k
A Modern Web Designer's Workflow
chriscoyier
693
190k
Transcript
HCP Vault Secrets で シークレット管理を始めよう HashiTalks: Japan 2024-11-14 Taichi Nonoshita
(@nnstt1)
自己紹介 埜下 太一 / Taichi Nonoshita 株式会社エーピーコミュニケーションズ Terraform, Vault, Azure,
Kubernetes HashiCorp Ambassador 2024 Microsoft Top Partner Engineer Award 2024 <Azure> @nnstt1
こんな方に聞いて欲しい • 組織・個人開発にシークレット管理を導入したい方 • Vault は知ってるけど HCP Vault Secrets は知らない方
HashiCorp Vault のおさらい
HashiCorp Vault とは • データ暗号化 • シークレット管理 クラウドやアプリケーションを跨がり、 インフラで必要なシークレットを一元管理 環境やワークロードを跨がり、
アプリケーションデータを暗号化して保護
• Vault Community Edition ◦ シークレット管理/暗号化の基本機能を無償提供 • Vault Enterprise ◦
Namespace や 高可用性クラスタ などの企業向け機能を提供 ◦ セキュリティ要件が高い組織向け • HCP Vault Dedicated ◦ Enterprise 相当のマネージド Vault クラスタを提供 ◦ Azure/AWS とプライベートアクセス可能 少し前までの HashiCorp Vault の種類
Vault クラスタはオーバースペックな場合もある • 組織が小規模・個人開発 • Vault でシークレット管理以外の機能を使う予定がない ◦ データ暗号化、証明書管理… •
Vault 自体の運用が不安 ◦ アクセスコントロール、ポリシー、Namespace… • 費用感が合わない
None
HCP Vault Secrets (HVS) の特徴 • クラスタ管理は不要 ◦ HCP 上で提供されるマネージドサービス
◦ シークレット管理に注力 • 機能はシークレット管理に限定 ◦ スモールに始められる ◦ 学習コストが低い • シークレット数の課金 ◦ 費用を予想しやすい ◦ 用途に応じたプランあり
HCP Vault Secrets のはじめ方
HCP Vault Secrets のはじめ方 1. HCP (HashiCorp Cloud Platform) へログイン
https://portal.cloud.hashicorp.com/sign-in
HCP Vault Secrets のはじめ方 2. Organization と Project を作成 Organization
• 請求、ユーザーアクセスの管理単位 • 組織内で Organization 作成済みの場合は招待してもらう ◦ 1アカウントで作れる Organization は1つだけ
HCP Vault Secrets のはじめ方 2. Organization と Project を作成 Organization
Project “Stage” Project “Production” • HCP リソースをまとめる単位 • ワークロードや環境などで分割 ◦ プロジェクト毎の費用が分かる ◦ RBAC に影響してくる(後述)
HCP Vault Secrets のはじめ方 3. HCP Vault Secrets でアプリケーションを作成
HCP Vault Secrets のはじめ方 3. HCP Vault Secrets でアプリケーションを作成 Organization
Project “Stage” Project “Production” App“foo” App“bar” App“foo” App“bar” • シークレットを管理する単位 • Kubernetes の Secret リソースに似ている
HCP Vault Secrets のはじめ方 4. アプリケーション内に Key-Value 形式でシークレットを登録 シークレット値は参 照可能
HCP Vault Secrets のはじめ方 4. アプリケーション内に Key-Value 形式でシークレットを登録 Organization Project
“Stage” Project “Production” App“foo” App“bar” App“foo” App“bar” 🔑 🔑 🔑 🔑 🔑 🔑 🔑 🔑
HCP Vault Secrets の シークレットを使う
プッシュ型とプル型 シークレットの利用方法 App 🔑 🔑 AWS Secrets Manager CLI Azure
Key Vault Google Cloud Secrets Manager GitHub Actions HCP Terraform Vercel API Kubernetes プッシュ プル
アプリケーション毎に「Secrets Sync」を設定 • クラウドプロバイダーのシークレットマネージャーや CI ツールとシークレットを同期 • 1アプリケーションに対して複数の同期先を設定できる • 各サービスのシークレットを一元管理
プッシュ型 App 🔑 🔑 AWS Secrets Manager Azure Key Vault Google Cloud Secrets Manager GitHub Actions HCP Terraform Vercel Secrets Sync プッシュ
利用するユーザ/システム側からシークレットを取得 • CLI は hcp コマンドを利用可能 • Kubernetes は Vault
Secrets Operator を利用可能 プル型 CLI API Kubernetes プル App 🔑 🔑
プラン 3種類のプラン毎に制約が異なる • 登録できるシークレット数、Secrets Sync 設定数、シークレットの履歴 • Plus プラン限定の機能 Free
Standard Plus 料金 無料 $0.50/シークレット/月 $0.95/シークレット/月 アプリケーション 25 1,000 10,000 静的シークレット 25 2,500 25,000 Auto rotating シークレット - - 5,000 動的シークレット - - 5,000 シークレットのバージョン 5 50 50 Secrets Sync 5 200 2000
下にいくほど安全なシークレット シークレット管理のベストプラクティス Unmanaged secrets Vaulted Rotated Dynamic Short-lived + unique
secret Medium-lived + shared secret Long-lived + shared secret
Auto rotating シークレット • シークレットの存続期間を中程度に保つ ◦ 30日 or 60日 or
90日でシークレットを自動更新 ◦ AWS、Google Cloud、MongoDB Atlas、Twilio をサポート ◦ Plus プラン限定 🔑 App AWS 1.ローテーション 2.シークレット参照 3.更新されたシーク レットで認証
動的シークレット (beta) • Just In Time でシークレットを作成 ◦ シークレットの存続期間が短い ◦
AWS、Google Cloud をサポート、DB などは未サポート ◦ Plus プラン限定 🔑 App AWS 2.シークレット作成 4.作成されたシーク レットで認証 1.シークレット参照 3.シークレット応答
HCP Vault Secrets を 使う上での注意点
注意点 • API リミット ◦ 6000 リクエスト/分 ◦ プル型、特に Kubernetes
の場合は上限に到達しやすい • RBAC で細やかな設定は(まだ)できない ◦ 組み込みロールは管理者と閲覧者のみ ◦ 権限付与はプロジェクト単位 • パブリックアクセスのみ ◦ HCP Vault Dedicated のようなプライベートエンドポイントは 払い出されない
まとめ
まとめ HCP Vault Secrets はシークレット管理に特化した マネージドサービス 1 Secrets Sync でシークレットマネージャー/CIツールと
連携して一元管理 2 ベストプラクティスに対応したシークレット管理が可能 3
None
nnstt1
nitya
tomoki10
osakiy8
eliasnogueira
takabow
sansan33
tajimon
teru0x1
kohbis
madoxten
naomix
shpigford
kastner
geoffreycrofte
smashingmag
chrisshort
morganepeng
erikaheidi
addyosmani
speakerdeck
hatefulcrawdad
chriscoyier
