第14章 シークレットの処理と接続セキュリティー

Automation Controller は、SHA256 ハッシュを使用して、PBKDF2 アルゴリズムでローカル Automation Controller ユーザーのパスワードをハッシュします。LDAP、SAML、OAuth などの外部アカウントメカニズムで認証を行うユーザーの場合は、パスワードやシークレットが保存されません。

Automation Controller が、サービスを適切に実行するために必要な運用シークレットを処理する方法を学習します。

Automation Controller には、運用に使用する以下のシークレットが存在します。

システムは、起動時に Automation Controller サービスが自動化された方法で読み取る必要があるため、これらのシークレットを Automation Controller サーバーに暗号化せずに保存します。UNIX パーミッションは、すべてのシークレットを保護し、それらを root および Automation Controller の awx サービスユーザーに制限します。

これらのシークレットを非表示にする必要がある場合、当該シークレットの読み取り元となるファイルは Python によって解釈されます。これらのファイルは、サービスが再起動するたびに、他のメカニズムでこれらのシークレットを取得するように調整できます。この変更はお客様により指定されるものであり、アップグレードのたびに再適用が必要な場合があります。Red Hat サポートと Red Hat コンサルティングは、そのような変更の例を有しています。

Automation Controller が生成した SECRET_KEY が侵害され、再生成する必要があると思われる場合は、Automation Controller のバックアップおよび復元ツールと同様に動作するインストールプログラムからツールを実行できます。

新しいシークレットキーを生成するには、以下を実行します。

以前のキーのバックアップコピーは /etc/tower/ に保存されます。

Automation Controller は、自動化に使用するシークレットや、自動化の結果であるさまざまなシークレットをデータベースに保存します。

これらのシークレットには以下が含まれます。

シークレットフィールドを暗号化するために、Automation Controller は、認証に SHA256 を使用して、暗号化用の 256 ビットキー、PKCS7 パディング、および HMAC を使用した CBC モードの AES を使用します。

暗号化や復号化のプロセスでは、SECRET_KEY、モデルフィールドのフィールド名、およびデータベースによって割り当てられた自動増分レコード ID から AES-256 ビット暗号化キーが導出されます。したがって、キー生成プロセスで使用される属性が変更された場合、Automation Controller はシークレットを正しく復号化できません。

Automation Controller は次のように設計されています。

Playbook でシークレット値が使用されている場合は、誤ってログに記録されないように、タスクで no_log を使用することを推奨します。

Automation Controller を使用すると、内部サービス、外部アクセス、および管理対象ノードへの接続が可能になります。

Automation Controller は、内部操作の一環として次のサービスに接続します。

Automation Controller が HTTP および HTTPS 経由で外部アクセスを処理する方法を学習します。Automation Controller は、Nginx をリバースプロキシーとして使用し、外部アクセスを処理します。主な機能は次のとおりです。

Automation Controller は、自動化の一環として管理対象マシンおよびサービスに接続します。管理対象マシンへの接続はすべて、SSH、WinRM、SSL/TLS など、標準のセキュアなメカニズムによって行われます。

各メカニズムは、対象となる機能のシステム設定 (システム OpenSSL 設定など) から設定を継承します。