Upgrade to Pro — share decks privately, control downloads, hide ads and more …

HCP Vault Secrets でシークレット管理を始めよう / Getting Star...

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for ののし ののし
November 14, 2024
Technology
290
0

HCP Vault Secrets でシークレット管理を始めよう / Getting Started with Secret Management Using HCP Vault Secrets

HashiTalks: Japan 2024 で投影した資料です。

Avatar for ののし

ののし

November 14, 2024

More Decks by ののし

See All by ののし
2025 年版 HashiCorp Vault 入門 / Introduction to HashiCorp Vault - 2025 Edition
Avatar for ののし nnstt1
1
140
シークレット管理だけじゃない!HashiCorp Vault でデータ暗号化をしよう / Beyond Secret Management! Let's Encrypt Data with HashiCorp Vault
Avatar for ののし nnstt1
3
600
Azure Developer CLI と Azure Deployment Environment / Azure Developer CLI and Azure Deployment Environment
Avatar for ののし nnstt1
1
610
Terraform にコントリビュートしていたら Azure のコストをやらかした話 / How I Messed Up Azure Costs While Contributing to Terraform
Avatar for ののし nnstt1
1
890
進化するクラウド管理 -Azure と Terraform の最新トレンド- / Evolving Cloud Management - Latest Trends in Azure and Terraform
Avatar for ののし nnstt1
0
96
今から、 今だからこそ始める Terraform で Azure 管理 / Managing Azure with Terraform: The Perfect Time to Start
Avatar for ののし nnstt1
0
530
HashiCorp Ambassador が予想!Red Hat × HashiCorp の未来 / The Future of Red Hat and HashiCorp
Avatar for ののし nnstt1
1
240
Terraform を使った Front Door の小ネタ / Terraform for Front Door
Avatar for ののし nnstt1
0
240
つまずきから学ぶ Backstage の Golden Path 構築
Avatar for ののし nnstt1
2
1.6k

Other Decks in Technology

See All in Technology
Kiro CLI v2.0.0がやってきた!
Avatar for Hiroo Katoh kentapapa
0
230
Datadog 認定試験の概要と対策
Avatar for Uechi Shingo uechishingo
0
210
組織の中で自分を経営する技術
Avatar for shoota shoota
0
230
ルールやカスタム機能、どう使う?理想の出力を引き出すために今知りたいIBM Bob 5つの機能
Avatar for mu (Mizuho Uehara) muehara
0
150
AIガバナンス実践 - 生成AIコネクタのデータ漏洩リスクと実務対策
Avatar for 西岡 賢一郎 (Kenichiro Nishioka) knishioka
0
140
類似画像検索モデルの開発ノウハウ
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
4
1.1k
OpenID Connectによるサービス間連携
Avatar for Shigeki Shoji takesection
0
150
権限管理設計を完全に理解した
Avatar for r-sugi rsugi
2
240
string地獄を脱出する
Avatar for SansanTech sansantech
PRO
1
110
JJUG CCC 2026 Spring AI時代の開発こそ標準化を武器に! ― 方式・プロセス・プラットフォームの標準化
Avatar for WatanabeShun s27watanabe
2
640
Generative UI × A2UI で AI エージェントを作った話 AI-DLC も使ってみた!
Avatar for たけのこ kmiya84377
1
290
AI-DLCを活用した高品質・安全なAI駆動開発実践 / AI Driven Development
Avatar for 吉田真吾 yoshidashingo
1
270

Featured

See All Featured
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
Avatar for Katarina Dahlin katarinadahlin
PRO
1
3.6k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
659
62k
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
Avatar for Aleyda Solis aleyda
1
2k
The AI Search Optimization Roadmap by Aleyda Solis
Avatar for Aleyda Solis aleyda
1
5.8k
A brief & incomplete history of 
UX Design for the World Wide Web: 1989–2019
Avatar for Jason CranfordTeague jct
2
380
How Fast Is Fast Enough? [PerfNow 2025]
Avatar for Tammy Everts tammyeverts
3
590
A Guide to Academic Writing Using Generative AI - A Workshop
Avatar for Kenji Saito ks91
PRO
1
310
The Illustrated Guide to Node.js - THAT Conference 2024
Avatar for David Neal reverentgeek
1
370
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
348
40k
Jess Joyce - The Pitfalls of Following Frameworks
Avatar for Tech SEO Connect techseoconnect
PRO
1
160
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
247
13k
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
304
21k

Transcript

  1. HCP Vault Secrets で シークレット管理を始めよう HashiTalks: Japan 2024-11-14 Taichi Nonoshita

    (@nnstt1)

  2. 自己紹介 埜下 太一 / Taichi Nonoshita 株式会社エーピーコミュニケーションズ Terraform, Vault, Azure,

    Kubernetes HashiCorp Ambassador 2024 Microsoft Top Partner Engineer Award 2024 <Azure> @nnstt1

  3. こんな方に聞いて欲しい • 組織・個人開発にシークレット管理を導入したい方 • Vault は知ってるけど HCP Vault Secrets は知らない方

  4. HashiCorp Vault のおさらい

  5. HashiCorp Vault とは • データ暗号化 • シークレット管理 クラウドやアプリケーションを跨がり、 インフラで必要なシークレットを一元管理 環境やワークロードを跨がり、

    アプリケーションデータを暗号化して保護

  6. • Vault Community Edition ◦ シークレット管理/暗号化の基本機能を無償提供 • Vault Enterprise ◦

    Namespace や 高可用性クラスタ などの企業向け機能を提供 ◦ セキュリティ要件が高い組織向け • HCP Vault Dedicated ◦ Enterprise 相当のマネージド Vault クラスタを提供 ◦ Azure/AWS とプライベートアクセス可能 少し前までの HashiCorp Vault の種類

  7. Vault クラスタはオーバースペックな場合もある • 組織が小規模・個人開発 • Vault でシークレット管理以外の機能を使う予定がない ◦ データ暗号化、証明書管理… •

    Vault 自体の運用が不安 ◦ アクセスコントロール、ポリシー、Namespace… • 費用感が合わない
  8. None

  9. HCP Vault Secrets (HVS) の特徴 • クラスタ管理は不要 ◦ HCP 上で提供されるマネージドサービス

    ◦ シークレット管理に注力 • 機能はシークレット管理に限定 ◦ スモールに始められる ◦ 学習コストが低い • シークレット数の課金 ◦ 費用を予想しやすい ◦ 用途に応じたプランあり

  10. HCP Vault Secrets のはじめ方

  11. HCP Vault Secrets のはじめ方 1. HCP (HashiCorp Cloud Platform) へログイン

    https://portal.cloud.hashicorp.com/sign-in

  12. HCP Vault Secrets のはじめ方 2. Organization と Project を作成 Organization

    • 請求、ユーザーアクセスの管理単位 • 組織内で Organization 作成済みの場合は招待してもらう ◦ 1アカウントで作れる Organization は1つだけ

  13. HCP Vault Secrets のはじめ方 2. Organization と Project を作成 Organization

    Project “Stage” Project “Production” • HCP リソースをまとめる単位 • ワークロードや環境などで分割 ◦ プロジェクト毎の費用が分かる ◦ RBAC に影響してくる(後述)

  14. HCP Vault Secrets のはじめ方 3. HCP Vault Secrets でアプリケーションを作成

  15. HCP Vault Secrets のはじめ方 3. HCP Vault Secrets でアプリケーションを作成 Organization

    Project “Stage” Project “Production” App“foo” App“bar” App“foo” App“bar” • シークレットを管理する単位 • Kubernetes の Secret リソースに似ている

  16. HCP Vault Secrets のはじめ方 4. アプリケーション内に Key-Value 形式でシークレットを登録 シークレット値は参 照可能

  17. HCP Vault Secrets のはじめ方 4. アプリケーション内に Key-Value 形式でシークレットを登録 Organization Project

    “Stage” Project “Production” App“foo” App“bar” App“foo” App“bar” 🔑 🔑 🔑 🔑 🔑 🔑 🔑 🔑

  18. HCP Vault Secrets の シークレットを使う

  19. プッシュ型とプル型 シークレットの利用方法 App 🔑 🔑 AWS Secrets Manager CLI Azure

    Key Vault Google Cloud Secrets Manager GitHub Actions HCP Terraform Vercel API Kubernetes プッシュ プル

  20. アプリケーション毎に「Secrets Sync」を設定 • クラウドプロバイダーのシークレットマネージャーや CI ツールとシークレットを同期 • 1アプリケーションに対して複数の同期先を設定できる • 各サービスのシークレットを一元管理

    プッシュ型 App 🔑 🔑 AWS Secrets Manager Azure Key Vault Google Cloud Secrets Manager GitHub Actions HCP Terraform Vercel Secrets Sync プッシュ

  21. 利用するユーザ/システム側からシークレットを取得 • CLI は hcp コマンドを利用可能 • Kubernetes は Vault

    Secrets Operator を利用可能 プル型 CLI API Kubernetes プル App 🔑 🔑

  22. プラン 3種類のプラン毎に制約が異なる • 登録できるシークレット数、Secrets Sync 設定数、シークレットの履歴 • Plus プラン限定の機能 Free

    Standard Plus 料金 無料 $0.50/シークレット/月 $0.95/シークレット/月 アプリケーション 25 1,000 10,000 静的シークレット 25 2,500 25,000 Auto rotating シークレット - - 5,000 動的シークレット - - 5,000 シークレットのバージョン 5 50 50 Secrets Sync 5 200 2000

  23. 下にいくほど安全なシークレット シークレット管理のベストプラクティス Unmanaged secrets Vaulted Rotated Dynamic Short-lived + unique

    secret Medium-lived + shared secret Long-lived + shared secret

  24. Auto rotating シークレット • シークレットの存続期間を中程度に保つ ◦ 30日 or 60日 or

    90日でシークレットを自動更新 ◦ AWS、Google Cloud、MongoDB Atlas、Twilio をサポート ◦ Plus プラン限定 🔑 App AWS 1.ローテーション 2.シークレット参照 3.更新されたシーク レットで認証

  25. 動的シークレット (beta) • Just In Time でシークレットを作成 ◦ シークレットの存続期間が短い ◦

    AWS、Google Cloud をサポート、DB などは未サポート ◦ Plus プラン限定 🔑 App AWS 2.シークレット作成 4.作成されたシーク レットで認証 1.シークレット参照 3.シークレット応答

  26. HCP Vault Secrets を 使う上での注意点

  27. 注意点 • API リミット ◦ 6000 リクエスト/分 ◦ プル型、特に Kubernetes

    の場合は上限に到達しやすい • RBAC で細やかな設定は(まだ)できない ◦ 組み込みロールは管理者と閲覧者のみ ◦ 権限付与はプロジェクト単位 • パブリックアクセスのみ ◦ HCP Vault Dedicated のようなプライベートエンドポイントは 払い出されない

  28. まとめ

  29. まとめ HCP Vault Secrets はシークレット管理に特化した マネージドサービス 1 Secrets Sync でシークレットマネージャー/CIツールと

    連携して一元管理 2 ベストプラクティスに対応したシークレット管理が可能 3
  30. None