私はパスワードやトークンなどを 1Password に保存しています。これらを環境変数として利用したい場合、クリップボードにコピーして set か export して環境変数にセットするか、頻繁に利用するものであれば envchain を利用していました。 envchain はとても便利なのですが、私は Mac と Linux、それから Windows もたまに使っているため、 keychain や Gnome Keyring でそれぞれ保存するのが手間に思っていました。どうせ 1Password に保存しているので、そこから取得してしまえば良いと思い、 openv というツールを作りました。 GitHub - mrtc0/openv: A tool that uses the credentials stored in 1password as an environment variab
技術部 SRE グループの鈴木 (id:eagletmt) です。 クックパッドでは Amazon ECS をオーケストレータとして Docker を利用しています。Docker 自体は2014年末から本番環境にも導入を始めていましたが当時はまだ ECS が GA になっておらず、別のしくみを作って運用していました。2015年4月に GA となった ECS の検討と準備を始め、2016年より本格導入へと至りました。クックパッドでは当初から Hako というツールを用いて ECS を利用しており、Hako の最初のコミットは2015年9月でした。 https://github.com/eagletmt/hako/commit/7f95497505ef78491f3f68e9d648204c7c9bb5e2 当時は ECS に機能が足りずに自前で工夫していた部分も多かったのですが、ECS やそ
はじめに 私が所属するaslead DevOpsチームでは、日々変化するユーザの開発サーバ構成に対して、セキュリティを保ちつつ開発業務の効率化・自動化ができないかを検討しています。 この記事では、AWSにログインして作業するIAMユーザの扱い方についてご紹介します。AWSの中でもセキュリティの基礎となる重要サービスであり、ユーザの棚卸しや権限の管理に時間を割かれているチームも多いのではないでしょうか。 そこで、Hashicorp社が提供しているVaultを利用し、作業のタイミングでIAMユーザを作成し、終わったら削除するアプローチを考えてみます。IAMユーザの作成自体はVaultの標準機能ですが、複数アカウントの権限制御ができるスイッチロールとの組み合わせを提案します。 Vaultとは (画像は https://medium.com/hashicorp-engineering/vault-
AWSアクセスキーセキュリティ意識向上委員会って何? 昨今、AWSのアクセスキーを漏洩させてしまうことが原因でアカウントへの侵入を受け、 多額の利用費発生・情報漏洩疑いなど重大なセキュリティ事案が発生するケースが実際に多々起きています。 そこで、アクセスキー運用に関する安全向上の取組みをブログでご紹介する企画をはじめました。 アクセスキーを利用する場合は利用する上でのリスクを正しく理解し、 セキュリティ対策を事前に適用した上で適切にご利用ください。 AWS Valutとは AWSのアクセスキー/シークレットキーを安全に保存・利用するためのOSSソフトウェアです。 AWS CLIだけではなく、boto3等AWS SDKを用いた開発、 Terraform等のサードパーティアプリケーションでも利用することが出来ます。 AWS VaultはIAM認証情報をOSのキーストアに保存し、認証情報の利用時
メルペイの Infrastructure as Code について、 HashiCorp Certified: Terraform Associate を受験した SRE に聞いてみた | メルカリエンジニアリング
メルペイの Infrastructure as Code について、 HashiCorp Certified: Terraform Associate を受験した SRE に聞いてみた こんにちは。メルペイ Engineering Office チームの kiko です。先月、 HashiCorp Certified: Terraform Associate がリリースされましたね。早速 @tjun さん(メルペイ SRE, Engineering Manager )と @keke さん(メルペイ SRE )が受験していました。というわけで、今回はこのお二人に、試験の話とメルペイの Infrastructure as Code について聞いてみました。 サマリー メルペイでは、クラウドのリソースや Datadogのダッシュボードなど様々なことをTerraformでコード化して管理している
GitHub - tellerops/teller: Cloud native secrets management for developers - never leave your command line for secrets.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Spring BootによるAPIバックエンド構築実践ガイド 第2版 何千人もの開発者が、InfoQのミニブック「Practical Guide to Building an API Back End with Spring Boot」から、Spring Bootを使ったREST API構築の基礎を学んだ。この本では、出版時に新しくリリースされたバージョンである Spring Boot 2 を使用している。しかし、Spring Boot3が最近リリースされ、重要な変...
HashiCorp TerraformのフォークであるOpenTofuに続いて、HashiCorp Vaultのフォークとして新プロジェクト「OpenBao」がLinux Foundation Edge傘下で進んでいることが明らかになりました。 OpenTofuに続いてOpenBaoがフォーク HashiCoprは今年(2023年)8月、それまでMozilla Public License v2.0(MPL2.0)のオープンソースライセンスで提供していたTerraformやVaultなど同社製品のライセンスを、商用利用に制限があるBusiness Source License v1.1(BSL1.1)に変更すると発表しました。 このライセンス変更に反発した開発者達が中心となり、2023年9月にLinux Foundation傘下でTerraformのフォークである「OpenTofu」が立ち
AWS IAMロールAnywhereのPKI基盤にHashicorp Vaultを使う | DevelopersIO
ども、ゲストのNTT東日本 大瀧です。 本日IAMロールAnywhereがリリースされました。IAMロールAnywhereは、AWSの認証基盤であるIAMの認証をPKI(公開鍵基盤)に外出しできる仕組みです。本ブログでは、手軽に試せるPKIとしてHashicorp Vaultを試す様子をご紹介します。 動作確認環境 OS : Ubuntu 20.04.4 LTS Vault : バージョン v1.11.0 AWS : 東京リージョン 1. Hashicorp Vaultのセットアップ まずはPKIのCA(認証局)となるVaultサーバーを立ち上げます。Vaultのダウンロードページの [Linux] - [LINUX BINARY DOWNLOAD]で Amd64 のリンクをコピーし、 wget の引数にしてダウンロードします。 $ wget https://releases.hashic
HashiCorp、シンプルなシークレット管理クラウドサービス「HCP Vault Secrets」パブリックベータ公開。シークレットを集中管理し環境変数で提供
HashiCorpは、ソフトウェア実行時に必要となるトークンやパスワードといった、いわゆるシークレットを安全に保管し提供するクラウドサービス「HCP Vault Secrets」をパブリックベータとして公開したことを発表しました。 同社はシークレットを管理するソフトウェアとして、以前からオープンソース版の「Vault」を公開しており、それを企業向けに強化した商用版のソフトウェア「Vault Enterprise」、そしてVault Enterpriseをクラウド上でマネージドサービスとして提供する「HCP Vault」を既に提供しています。 今回パブリックベータとなった「HCP Vault Secrets」は、HCP Vaultをシンプルにし使いやすくしたサービスであり、HTTP専用で、HCP Vaultのクラスタサイズやバージョンなどの構成を気にすることなく、サーバレスのようなサービスと
HashiCorp(ハシコープ)は2022年8月3日、マネージドクラウドプラットフォーム「HashiCorp Cloud Platform(HCP)」の日本リージョンを今秋から提供開始すると発表した。このHCP日本リージョンを利用して、まずはクラウドセキュリティを自動化する「HCP Vault」と、クラウドのネットワーキング/サービスメッシュを管理する「HCP Consul」の2サービスを提供する。2022年10月末~11月初旬の提供開始予定。 同日開催された記者説明会では、HashiCorp Japan カントリーマネージャーの花尾和成氏がHCPの概要のほか、国内におけるHashiCorpのビジネスアップデートと今後の戦略を説明した。またゲストとして「Terraform Cloud」を導入、活用している自動車部品メーカーのアイシンも出席し、具体的な活用内容やマネージドサービスを採用した理
HashiCorp
TerraformInfrastructure as code provisioning
【レポート】HashiCorp Vaultではじめるインフラセキュリティ対策と自動化 # Security Days Spring 2023 | DevelopersIO
どうもさいちゃんです。 この記事は2023年3月7日から10日に行われたSecurity Days Spring 2023 Tokyoで発表された「HashiCorp Vaultではじめるインフラセキュリティ対策と自動化」というセッションのレポートブログになります。 セッション概要 クラウドの市場浸透によって、企業のITインフラはよりダイナミックに、かつマルチ・ハイブリッドクラウドと多様化し、そしてその運用は複雑化しています。その変化に適したセキュリティ対策を取らなければ、情報漏洩などのリスクに繋がる恐れがあります。特にシークレットと呼ばれる、特定のシステムにアクセスするための権限が紐づいた資格情報は、環境下において漏洩時の被害が拡大しやすいため適切な対策が必要です。本セッションでは、弊社が提供する「HashiCorp Vault」と具体的なユースケースをご紹介しながら、多様化する動的なイ
Vault Secrets Operator と HCP Vault で Kubernetes のシークレットを管理しよう - APC 技術ブログ
はじめまして、ACS 事業部の埜下です。 みなさんは Kubernetes のシークレットはどのように管理されていますか? 先日、HashiCorp 社から「Vault Secrets Operator」がプレビュー公開されました。 また、2023/2 には HCP Vault on Azure が GA しました。 そこで、今回はシークレット管理についてお伝えしつつ、Vault Secrets Operator と HCP Vault on Azure を組み合わせたシークレット管理の動作確認の内容についてもお伝えします。 はじめに シークレット管理の必要性 Vault Secrets Operator について HCP Vault on Azure について 今回の目的 前提条件 環境構築 HashiCorp Virtual Network 作成 Azure VNet ピアリング HV
HashiCorp Vault 入門
これは何? HashiCorp Vaultに入門するためのまとめです。この資料を読むことで HashiCorp Vault is 何? が(なんとなく)わかるようになります。 背景 エンジニアが障害対応などのためにDBに対してログインする必要があるが、DBのUser管理が大変なのでなんとかしたい(共有アカウントはセキュリティ的にアレだし、個々のエンジニア用に用意するのは手間がかかり過ぎる)! そんな折、以下の情報を見て「HashiCorp Vault使えばいけるっぽいやん!」となったのでHashiCorp Vaultについて調べました。 HashCorp Vault is 何? Vaultはみんな大好きHashiCorp社の提供するプロダクトのひとつであり、以下のような機密情報管理を提供しています。 Secretの中央管理(Centralization) 暗号化(Encryption) 認
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog ヤフー社内のKubernetes環境における、シークレットデータの扱いに関して紹介します。 ヤフーでは、Secrets Store CSI Driver(以下、SSCD)というプロジェクトを、社内のKubernetesプラットフォーム向けにエコシステムとして導入しました。なぜ私たちがSSCDをエコシステムとして導入する必要があったのかを説明します。 社内データ保護の一環として、ヤフーでは自社開発のSecrets Managerを運用しています。各シークレットデータの保護に加え、RevokeやバージョンコントロールなどパブリッククラウドにあるSecrets Managerと同様の機能を有しています。ストアしているシークレットデータは
Injecting Vault Secrets Into Kubernetes Pods via a Sidecar
Sign up for freeGet started in minutes with our cloud products TerraformInfrastructure as code provisioning
GitHub - openbao/openbao: OpenBao exists to provide a software solution to manage, store, and distribute sensitive data including secrets, certificates, and keys.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
我らの時代のコンテナデプロイ – Nomad, Consul, Vault | IIJ Engineers Blog
我らの時代のコンテナデプロイ – Nomad, Consul, Vault 2020年12月11日 金曜日 【IIJ 2020 TECHアドベントカレンダー 12/12(土)の記事です】 システムクラウド本部の坂口です。 私たちは現在、新サービスを開発しています。 今やサービス開発ではコンテナ技術を無視できません。 我々のサービスでも開発したアプリケーション群は自動でコンテナイメージ化され、様々な開発者が簡単に手元で動作確認できるようになっています。 マイクロサービスアーキテクチャを採用し柔軟かつ高速な開発体制を敷けた一方で、それらをデプロイするコンテナ管理基盤をどうするかが問題になります。 今回はコンテナオーケストレーションシステムとしてnomad、並びにhashicorpのプロダクトを利用した感想をご紹介します。 デプロイを巡る冒険 Kubernetes コンテナオーケストレーションシ
Vault Secrets Operator: A new method for Kubernetes integration
TerraformInfrastructure as code provisioning
Vaultには必要な時に必要な期間だけシークレットを生成する仕組みがあります。この仕組みを「動的シークレット」と呼んでいます。この記事では、Vaultの動的シークレットを用いてTerraformを構成する方法について解説しています。HashiCorpのソリューションエンジニアであるPatrick Schulz氏の記事を、HashiCorp社の許可を得て、翻訳してお届けします。 この記事では、Vaultの動的シークレット機能を使うことで、Terraformのstateファイルに静的シークレット(クラウドにログインするためのクレデンシャルなど)を記述するのを避ける方法について解説します。 図1 動的シークレット生成のワークフロー Terraform(やAnsibleのようなツール)を使ってクラウドにリソースをプロビジョニングする際の課題の1つは、クラウドにログインするためのクレデンシャルの管理
Vault(ヴォルト) | 株式会社ラック
調査・診断・コンサルティング お客様のニーズに合った様々なタイプのセキュリティ診断、対策提案やコンサルティングの要望にもお応えします。 詳しく見る
Windowsでaws-vaultの設定を最初から実施し、aws-vault経由でterraformの実行テストをしてみた | DevelopersIO
Windowsでaws-vaultの設定を最初から実施し、aws-vault経由でterraformの実行テストをしてみた こんちには。 データアナリティクス事業本部 インテグレーション部 機械学習チームの中村です。 今回はWindowsマシンに対して、以下記事に沿ってaws-vaultの設定をしてterraformの実行まで確認しましたので、その作業メモをブログにしました。 本記事の設定は以下の則っています。aw-vaultについての説明はこれらの記事もご参考にされてください。 aws-vaultでcliとterraformをいい感じにしてみる | DevelopersIO AWS Vaultで端末内のAWSアクセスキー平文保存をやめてみた | DevelopersIO aws-vaultのインストール Windowsマシンからの実行であるため、PowerShellを管理者権限で起動して
Vault Enterpriseについて(1)
こんにちは。HashiCorp Japanの伊藤です。HashiCorpには4つのEnterprise製品があります。以下がそれぞれのプロダクトのOSS vs enterpriseの比較資料になります。 Terraform EnterpriseVault EnterpriseConsul EnterpriseNomad Enterprise今回はこの中のVaultについての説明をしたいと思います。(はじめに謝っておきます。Enterpriseの機能紹介まで書きたかったのですが、Vaultの基本概念だけで結構なボリュームになったので、Enterprise版については次回書きます・・・)
Terraform Cloud Adds Dynamic Provider Credentials for Vault and Official Cloud Providers
TerraformInfrastructure as code provisioning
こんにちは、レッドハットでAnsibleのテクニカルサポートエンジニアをしている八木澤(ひよこ大佐)です。 システム運用では、アクセス先のユーザー名やパスワードなどの機密情報の管理に気を配る必要があります。通常、Ansible Towerに登録した認証情報などは、暗号化されPostgreSQLのデータベース内に保持されます。そのため、特別な操作をすることなく認証情報を安全に保管することができます。 しかし、運用ポリシーによっては認証情報などを「Microsoft Azure Key Vault」や「CyberArk AIM」などの外部の認証情報管理サービスに一元的に保管している場合があり、Towerに機密情報を保持することができない場合があります。Ansible Towerではそのような外部の認証情報管理サービスと連携し、認証情報を取得することが可能です。 今回は、「Microsoft A
Use AWS Lambda Extensions to Securely Retrieve Secrets From HashiCorp Vault
Sign up for freeGet started in minutes with our cloud products TerraformInfrastructure as code provisioning
Many applications these days require authentication to external systems with resources, such as users and passwords to access databases and service accounts to access cloud services, and so on. In such cases, private information, like passwords and keys, becomes necessary. It is essential to take extra care in managing such sensitive data. For example, if you write your AWS key information or pass
Sign up for freeGet started in minutes with our cloud products TerraformInfrastructure as code provisioning
概要 hashicorp vault の各種操作に必要なコマンドを、探しやすいように1ページにまとめたもの。 個人で触れている箇所のメモです。全機能の網羅ではありません。 ※順次更新していきます。 最低限の操作イメージが掴めている人向けです。初めての方はチュートリアルを! 初期操作 インストール パッケージマネージャー対応できるなら、こちらのほうが更新が楽 https://www.vaultproject.io/downloads # centos の例 sudo yum install -y yum-utils sudo yum-config-manager --add-repo https://rpm.releases.hashicorp.com/RHEL/hashicorp.repo sudo yum -y install vault vault --version # 起動設定(ク
linuxのrootをSSHの証明書認証を使って共有し CERT IDで個々のユーザーを識別する - mnishikizawa's diary
Linuxのユーザーの管理で何かより良い方法がないかと検索していたら Scalable and secure access with SSH - Facebook CodeでSSHの証明書認証を使った方法が紹介されていたので検証してみました。 上記の記事をざっくりまとめると rootを共通アカウントとして使用する 証明書認証のCERT IDを使用し個々のユーザーを識別する ログは全て集約しているので簡単に分析できる AuthorizedPrincipalsFileを使ってアクセス制御を行う といった感じでしょうか。 証明書認証には以下の理由からHashicorpのVaultを使ってみることにしました。 署名に必要な秘密鍵を公開しなくて済むので、ユーザーに公開鍵への署名を任せられます。 ldap auth methodを使いActive Directoryに認証を任せると、token_dis
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
HashiCorp Vault on GKE @HashiCorp Meetup 10/23/2019
Profile Takaaki Komazaki @komattaka SRE Team at Merpay Agenda • • • • • • • • • Architecture Microservice Architecture Clients (API) Merpay API Gateway API service microservice A microservice B microservice C API service Mercari App Clients (Browser) CDN Microservice Architecture & Organization • Microservice architecture can be improved with the services and organizations that scale • Feat
Server Configuration | Vault | HashiCorp Developer
Outside of development mode, Vault servers are configured using a file. The format of this file is HCL or JSON. Enabling the file permissions check via the environment variable VAULT_ENABLE_FILE_PERMISSIONS_CHECK allows Vault to check if the config directory and files are owned by the user running Vault. It also checks if there are no write or execute permissions for group or others. Vault allows
Vault 1.13 adds Kubernetes Operator, MFA improvements, and more
TerraformInfrastructure as code provisioning
Kubernetes Novice Tokyo #15 で発表した資料です。 KubernetesとHashiCorp Vaultを組み合わせて良い感じにSecretの管理ができるんだよという話をしました
GitHub - hashicorp-japan/vault-workshop-jp: Let's Learn HashiCorp Vault
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
[Ansible] Ansible から HashiCorp Vault のシークレットを取得する - てくなべ (tekunabe)
はじめに 前回の記事で、HashiCorp Vault の kv シークレットエンジンを使ってシークレットの登録をしました。 今回は、そのシークレットを Ansible から取得して表示したり、機器への接続パスワードに利用することを試します。 Ansible の community.hashi_vault.hashi_vault ルックアッププラグインを利用します。 少し紛らわしいかもしれませんが、Ansible Vaultとは直接は関係ありません。 環境 Vault v1.10.0 ansible 5.6.0 (ansible-core 2.12.4) community.hashi_vault コレクション 2.4.0 hashi_vault ルックアッププラグインは、もともとは community.general コレクションにありましたが、2.0.0 で削除されました Vault
![[Ansible] Ansible から HashiCorp Vault のシークレットを取得する - てくなべ (tekunabe)](https://cdn-ak-scissors.b.st-hatena.com/image/square/e61e2a8de1e113c0489dd4f92cabd384fd713559/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F10328749687235026646%2F13574176438081115189%2F1681260104)
Sign up for freeGet started in minutes with our cloud products TerraformInfrastructure as code provisioning
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
1Password に保存しているクレデンシャルを環境変数として利用するためのツールを作った
ECS インフラの変遷 - クックパッド開発者ブログ
AWSでIAMユーザを使い捨てにする - Qiita
AWS Vaultで端末内のAWSアクセスキー平文保存をやめてみた | DevelopersIO
DatadogがKubernetesで大規模クラスタを実現するまで
HashiCorp Vaultもフォークへ、「OpenBao」がLinux Foundation傘下で進行中
ハシコープ「HashiCorp Cloud Platform」今秋に日本リージョン開設
HashiCorp、国内リージョンでHashiCorp Cloud Platformを提供へ 2022年秋の提供開始を予定
より安全なKubernetes Secrets管理のためのエコシステムの開発
Vaultの動的シークレットでTerraformのセキュリティレベルを向上させるには | LAC WATCH
Ansible TowerでAzure Key Vaultから認証情報を取得する - 赤帽エンジニアブログ
Secret Management with HashiCorp Vault
Announcing Vault on the HashiCorp Cloud Platform
Hashicorp Vault 操作メモ - Qiita
HashiCorp Vault 紹介
k8sとVaultを組み合わせてシークレットをもっとセキュアに
Announcing HCP Vault Public Beta
mainichi.jp
www.google.co.jp
anond.hatelabo.jp
xtech.nikkei.com
mainichi.jp
ameblo.jp/honmononoreinousha