Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
HashiCorp Vaultを使った セキュアなDBアクセスの実現/Secure DB ac...
Search
Yokoyama Tatsuo
March 20, 2021
Technology
0
1.9k
HashiCorp Vaultを使った セキュアなDBアクセスの実現/Secure DB access with HashiCorp Vault
JAWSDAYS2021
Yokoyama Tatsuo
March 20, 2021
Tweet
Share
More Decks by Yokoyama Tatsuo
See All by Yokoyama Tatsuo
SREとその組織類型
tatsuo48
13
3.5k
AWS Fargateでお手軽開発ブランチデプロイ/Easy development branch deployment with AWS Fargate
tatsuo48
0
110
Terraformのレポジトリ、 ディレクトリ構成どうする?/Terraform repository, directory structure What should I do?
tatsuo48
6
3.2k
インフラエンジニアとアプリ開発
tatsuo48
0
180
Other Decks in Technology
See All in Technology
Authlete で実装する MCP OAuth 認可サーバー #CIMD の実装を添えて
watahani
0
370
2025年の医用画像AI/AI×medical_imaging_in_2025_generated_by_AI
tdys13
0
280
戰略轉變:從建構 AI 代理人到發展可擴展的技能生態系統
appleboy
0
170
AWS re:Inventre:cap ~AmazonNova 2 Omniのワークショップを体験してきた~
nrinetcom
PRO
0
120
First-Principles-of-Scrum
hiranabe
2
610
AWSインフルエンサーへの道 / load of AWS Influencer
whisaiyo
0
250
Agentic AIが変革するAWSの開発・運用・セキュリティ ~Frontier Agentsを試してみた~ / Agentic AI transforms AWS development, operations, and security I tried Frontier Agents
yuj1osm
0
180
Introduction to Sansan for Engineers / エンジニア向け会社紹介
sansan33
PRO
5
58k
AIエージェントを5分で一気におさらい! AIエージェント「構築」元年に備えよう
yakumo
1
130
Introduction to Sansan Meishi Maker Development Engineer
sansan33
PRO
0
330
AIと融ける人間の冒険
pujisi
0
110
Data Hubグループ 紹介資料
sansan33
PRO
0
2.5k
Featured
See All Featured
Leo the Paperboy
mayatellez
0
1.3k
Into the Great Unknown - MozCon
thekraken
40
2.2k
Building a A Zero-Code AI SEO Workflow
portentint
PRO
0
220
<Decoding/> the Language of Devs - We Love SEO 2024
nikkihalliwell
1
110
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
rkaga
58
41k
Darren the Foodie - Storyboard
khoart
PRO
0
2k
The Pragmatic Product Professional
lauravandoore
37
7.1k
Technical Leadership for Architectural Decision Making
baasie
0
200
Jess Joyce - The Pitfalls of Following Frameworks
techseoconnect
PRO
1
40
Art, The Web, and Tiny UX
lynnandtonic
304
21k
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
aleyda
1
1.1k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
359
30k
Transcript
HashiCorp Vaultを使った セキュアなDBアクセスの実現 横山達男(@tatsuo4848) | 2021/03/20
本セッションのターゲット • RDSのパスワード管理に悩んでいる方 • HashiCorp Vaultでどんなことができるのか興味がある方
小田原にあるHameeから来ました!
自己紹介 twitterアカウント:@tatsuo4848 GitHubアカウント:tatsuo48 ~ これまでの経歴 ~ 拝承系SIer(インフラエンジニア、お客様サポート) ⬇ 株式会社みんなのウェディング(インフラエンジニア、SRE) ⬇
Hamee株式会社(SRE、TechLead) 三度の飯よりAWSが好き
Hameeについて
Hameeについて
Hameeについて
Next Engineの機能
Next Engineのシステム構成 メイン機能 Platform API アプリ アプリ アプリ アプリ アプリ
アプリ
Next Engineのシステム構成 メイン機能 Platform API アプリ アプリ アプリ アプリ アプリ
アプリ AWSで運用中
Next Engineのシステム構成 メイン機能 Platform API アプリ アプリ アプリ アプリ アプリ
アプリ AWSで運用予定 (さくらインターネットから移行中 ) AWSで運用中
Next Engineのシステム構成 メイン機能 Platform API アプリ アプリ アプリ アプリ アプリ
アプリ
Next Engineのシステム構成(移行完了後) メイン機能 Platform API アプリ アプリ アプリ アプリ アプリ
アプリ Auroraクラスター
メイン機能 Next Engineのシステム構成(移行完了後) Platform API アプリ アプリ アプリ アプリ アプリ
アプリ Auroraクラスター Auroraクラスター Auroraクラスター Auroraクラスター
メイン機能 Next Engineのシステム構成(移行完了後) Platform API アプリ アプリ アプリ アプリ アプリ
アプリ Auroraクラスター Auroraクラスター Auroraクラスター Auroraクラスター Auroraクラスター Auroraクラスター Auroraクラスター Auroraクラスター Auroraクラスター
増え続けるDBインスタンスの ユーザ管理をどうする?
課題 • サービス成長と共に増えつづけるDBインスタンスのユーザ管理をどうする? ◦ 問い合わせ対応などで開発者ごとのDBユーザ発行は必須!
課題 • サービス成長と共に増えつづけるDBインスタンスのユーザ管理をどうする? ◦ 共通ユーザを作成 ▪ 定期的なパスワードローテーションが必要 ▪ パスワードの安全な共有方法が必要
課題 • サービス成長と共に増えつづけるDBインスタンスのユーザ管理をどうする? ◦ 共通ユーザを作成 ▪ 定期的なパスワードローテーションが必要 ▪ パスワードの安全な共有方法が必要 ◦
開発者ごとにDBユーザを作成 ▪ 定期的なパスワードローテーションが必要 ▪ 入社、退社時の作業コストが大
どちらの手段も一長一短
HashiCorp Vaultで解決!
HashiCorp Vaultで解決! • IAM認証情報を元にRDSの期限付きユーザを発行する仕組みを構築 ◦ パスワードローテーション不要 ◦ パスワード共有方法も考えなくていい ◦ 入社退社時にIAMの更新対応は元から必要なので新規コストは発生せず
全体構成図
HashiCorp Vaultについて
HashiCorp Vaultについて • Terraformで有名なHashiCorp社が開発したプロダクト • 機密情報管理 • 以下を行ってくれる ◦ 任意の認証基盤(Auth
Methods)を使った認証 ◦ ポリシー(Policies)に基づき機密情報(Secrets Engines)へのアクセスを認可 • Dynamic Secretsという動的な機密情報生成の仕組み
認証と認可 • めちゃくちゃわかりやすい記事がありますのでそちらをお読みください ◦ 出典:DevelopersIO,よくわかる認証と認可 ◦ https://dev.classmethod.jp/articles/authentication-and-authorization/
認証と認可 • めちゃくちゃわかりやすい記事がありますのでそちらをお読みください ◦ 出典:DevelopersIO,よくわかる認証と認可 ◦ https://dev.classmethod.jp/articles/authentication-and-authorization/ • 認証は「通信の相手が誰(何)であるかを確認すること」 •
認可は「とある特定の条件に対して、リソースアクセスの権限を与えること」
認証と認可(HashiCorp Vaultの場合)
認証と認可(HashiCorp Vaultの場合) 認証は「認証情報を元に、認証基盤に正しい通信相手か確認すること」
認証と認可(HashiCorp Vaultの場合) 認証は「認証情報を元に、認証基盤に正しい通信相手か確認すること」 認可は「認証が通ったユーザに、ポリシーに基づいて機密情報へのアクセス権限を与えること」
Dynamic Secrets • 通常の機密情報(Secrets Engines)はVault内に暗号化して保存 • Dynamic Secretsは少し特殊 ◦ アクセスのたびに自動で生成される
Dynamic Secrets アクセスのたびに自動でIAMユーザが作成される 設定したTTLが切れた際のIAMユーザ削除までVaultが責任を持って実施
認証にIAM、SecretsEngineにRDS
構成図
認証にIAM • AWS SSOログイン後、接続したいDBが存在するアカウントに設定した IAMロールのCredentials を取得
認証にIAM • Credentialsを使って署名した、署名済みリクエスト (sts:GetCallerIdentityRequest)を渡す
認証にIAM • 署名済みリクエストをIAMのエンドポイントに送り、どのロールの Credentialsで署名したのか?を 確認
認証にIAM • 認証完了!
SecretsEngineにRDS • 正しいトークンが付与されたリクエストをなげる
SecretsEngineにRDS • 認証済みユーザに対して何が認可できるか?をポリシーで確認 ◦ 対象となるRDSインスタンス ◦ 発行するDBユーザの権限
SecretsEngineにRDS • DBユーザ/パスワードを作成する
SecretsEngineにRDS • DBユーザ/パスワードをレスポンスとして返す
DBアクセスについて
Vaultは認証、認可のみ • VaultによってDBの一時ユーザ/パスワードを入手 • プライベートサブネットに配置したRDSに安全に接続する仕組みが必要 • 開発者はSequelProなどのGUIツールが使いたい ◦ SSMを使って踏み台インスタンスを用意するだけではだめ ◦
SSHトンネリングが必要
SSM with SSH • SSMを使ってSSH接続 • SSH接続なのでSCPもSSHトンネリングもできる! • ssm-userではなく、任意のユーザでSSH接続させられるのでルート権限も渡さずに済 む
まとめ
全体構成図
まとめと今後の展望 • まとめ ◦ VaultとIAMを組み合わせることでセキュアなDBアクセスの仕組みを実現 • 今後の展望 ◦ EC2によるDB踏み台がいらない構成にしてみたい! ▪
Fargate踏み台やってみたいな〜
最後に宣伝!
積極採用中です! • 採用ページ ◦ https://recruit.hamee.co.jp/odawara • 珍しい福利厚生 ◦ 小田原手当 ▪
小田原周辺地域に居住する正社員に対し、月2万円を支給! ◦ いざ!小田原 ▪ 正社員の新幹線・特急電車・飛行機・船・高速バスでの通勤OK
ご静聴ありがとうございました!
None
tatsuo48
watahani
tdys13
appleboy
nrinetcom
hiranabe
whisaiyo
yuj1osm
sansan33
yakumo
pujisi
mayatellez
thekraken
portentint
nikkihalliwell
rkaga
khoart
lauravandoore
baasie
techseoconnect
lynnandtonic
aleyda
bermonpainter
