Hashicorp VaultでAWSクレデンシャルの管理を楽にしたい

Transcript

1. Hashicorp VaultでAWSクレデンシャルの 管理を楽にしたい 黒野 雄稀 | 2022/12/20 1 [大阪開催] nakanoshima.dev

   #33 - LT Night !

2. 自己紹介 黒野 雄稀 Yuki Kurono kurono_98 kurono アイレット株式会社 所属　 普段はインフラ設計・構築や運用構築に従事

   2022 APN ALL AWS Certifications Engineers 2 re:Invent 2022初参加！🎉

3. 3

4. 4 主にできること ▶ ダイナミックシークレットの生成 ▶ Transit Secrets Engine Vaultとは？ https://developer.hashicorp.com/vault

5. 5 Transit Secrets Engine この仕組みを使うと、DBに平文で個人情報等をいれることが無くなる。 https://developer.hashicorp.com/vault/tutorials/encryption-as-a-service/eaas-transit

6. 6 How to use Vault. セルフホスト

7. 　 プロファイル名(A環境)/ 　　 ロール(describe-s3-bucket) 　　 ロール(readonly) 　 プロファイル名(B環境)/ 　　 ロール(admin)

   　　 ロール(develop) 7 AWSクレデンシャル発行 Generate リクエスト

8. 　 プロファイル名(A環境)/ 　　 ロール(describe-s3-bucket) 　　 ロール(readonly) 　 プロファイル名(B環境)/ 　　 ロール(admin)

   　　 ロール(develop) 8 AWSクレデンシャル発行 Generate リクエスト アクセスキー発行

9. 　 プロファイル名(A環境)/ 　　 ロール(describe-s3-bucket) 　　 ロール(readonly) 　 プロファイル名(B環境)/ 　　 ロール(admin)

   　　 ロール(develop) 9 AWSクレデンシャル発行 Generate リクエスト アクセスキー発行 (readonly)

10. クラスター作成

11. クラスター作成

12. クレデンシャル登録

13. クレデンシャル登録 アクセスキー、シークレットキーを入力する。

14. クレデンシャル発行 ポリシー名、付与する権限を入力する。

15. クレデンシャル発行 IAM Userを選択してGenerateする。

16. クレデンシャル発行 クレデンシャルをコピーしておく。

17. 使ってみる

18. 使ってみる🎉

19. 裏側では..

20. 20 まとめ ▶ Hashicorp Vaultを使うと、セキュリティは高められそうだけどもう少し学習 が　 必要そう。 ▶ OSS版に比べてSaas版は構築がとても楽。 ▶

    Terraformやその他のサービスと上手くかけ合わせて使うみたいなところも 　 今後試していきたい。 ▶ また来年もがんばろー。