第26章 Ansible を使用した IdM サービス Vault の管理: シークレットの保存および取得

このセクションでは、管理者が ansible-freeipa vault モジュールを使用してサービスシークレットを一元的にセキュアに保存する方法を説明します。この例で使用されている Vault は非対称です。そのため、これを使用するには、管理者が次の手順を実行する必要があります。

サービスシークレットは、管理者が Vault にアーカイブする時に公開鍵を使用して暗号化されます。その後、ドメイン内の特定のマシンでホストされるサービスインスタンスが、秘密鍵を使用してシークレットを取得します。シークレットにアクセスできるのは、サービスと管理者のみです。

シークレットが漏洩した場合には、管理者はサービス Vault でシークレットを置き換えて、漏洩されていないサービスインスタンスに配布しなおすことができます。

26.1. 前提条件
リンクのコピー

Key Recovery Authority (KRA) Certificate System コンポーネントが IdM ドメインの 1 つ以上のサーバーにインストールされている。詳細は、IdM での Key Recovery Authority のインストールを参照してください。

手順では、以下を前提としています。

private-key-to-an-externally-signed-certificate.pem は、サービスシークレットを含むファイルです (ここでは外部署名証明書への秘密鍵)。この秘密鍵と、Vault からのシークレットの取得に使用する秘密鍵と混同しないようにしてください。
secret_vault は、サービスシークレット保存向けに作成された Vault です。
HTTP/webserver1.idm.example.com は Vault の所有者となるサービスです。
HTTP/webserver2.idm.example.com および HTTP/webserver3.idm.example.com は Vault メンバーサービスです。
service-public.pem は、password_vault に保存されているパスワードの暗号化に使用するサービスの公開鍵です。
service-private.pem は、secret_vault に保存されているパスワードの復号化に使用するサービスの秘密鍵です。