第25章 Vault での認証シークレットの保存
Vault は、シークレットの保存、取得、共有、および復旧のセキュアな場所です。シークレットは、限られたユーザーまたはグループまたはエンティティーグループのみがアクセスできるようにするセキュリティーの影響を受けるデータです。たとえば、シークレットには以下が含まれます。
- パスワード
- 暗証番号
- SSH 秘密鍵
ユーザーおよびサービスは、Identity Management(IdM) ドメインに登録されているマシンから vault に保存されているシークレットにアクセスできます。
注記
Vault はコマンドラインからのみ利用でき、IdM Web UI からは利用できません。
Vault のユースケースには以下が含まれます。
- ユーザーの個人シークレットの保存
- 詳細は「ユーザーの個人シークレットの保存」を参照してください。
- サービスのシークレットの保存
- 詳細は「Vault でのサービスシークレットの保存」を参照してください。
- 複数のユーザーによって使用される共通のシークレットの保存
- 詳細は「複数ユーザーの共通シークレットの保存」を参照してください。
Vault を使用するには、「Vault を使用するための前提条件」 に記載の条件を満たしている必要があります。
25.1. Vault の仕組み
25.1.1. Vault の所有者、メンバー、および管理者
IdM は、以下の vault ユーザータイプを区別します。
- Vault 所有者
- vault 所有者は、vault の基本的な管理権限のあるユーザーまたはサービスです。たとえば、vault の所有者は vault のプロパティーを変更したり、新しい vault メンバーを追加したりできます。各 vault には最低でも所有者が 1 人必要です。vault には複数の所有者を指定することもできます。
- Vault メンバー
- vault メンバーは、別のユーザーまたはサービスが作成した vault にアクセスできるユーザーまたはサービスです。
- Vault 管理者
- vault 管理者は全 vault に制限なくアクセスでき、vault の操作をすべて実行できます。注記対称と非対称 vault は、パスワードまたは鍵で保護されており、特別なアクセス制御ルールが適用されます (「標準、対称および非対称 vault」 を参照)。管理者は、以下を行うためにこの特別なルールを満たす必要があります。
- 対称および非対称 vault のシークレットにアクセスする。
- vault パスワードまたはキーを変更またはリセットする。
vault 管理者は、vault administrators
特権を持つユーザーです。ユーザー権限の定義については、「ロールベースのアクセス制御の定義」 を参照してください。
特定の所有者およびメンバーの特権は、vault のタイプによって異なります。詳細は「標準、対称および非対称 vault」を参照してください。
Vault ユーザー
ipa vault-show コマンドなどの一部のコマンドの出力には、ユーザー vault の
Vault user
も表示されます。
$ ipa vault-show my_vault
Vault name: my_vault
Type: standard
Owner users: user
Vault user: user
vault ユーザーは、vault のあるコンテナー内のユーザーです。vault コンテナーおよびユーザー vault の詳細は、「各種 Vault コンテナー」 および 「ユーザー、サービスおよび共有 vault」 を参照してください。
25.1.2. 標準、対称および非対称 vault
以下の vault タイプは、セキュリティーおよびアクセス制御のレベルに基づいています。
- 標準 vault
- Vault の所有者と vault メンバーは、パスワードやキーを使用せずにシークレットをアーカイブして取得できます。
- 対称 vault
- vault のシークレットは対称キーを使用して保護されます。vault のメンバーおよび所有者は、シークレットをアーカイブして取得できますが、vault パスワードを指定する必要があります。
- 非対称 vault
- vault のシークレットは非対称キーを使用して保護されます。ユーザーは公開鍵でシークレットをアーカイブし、秘密鍵でシークレットを取得します。vault メンバーはシークレットのアーカイブのみが可能ですが、vault 所有者はシークレットのアーカイブと取得の両方が可能です。
25.1.4. 各種 Vault コンテナー
vault コンテナーは vault のコレクションです。
IdM は、以下のデフォルトの vault コンテナーを提供します。
- ユーザーコンテナー: ユーザーのプライベートコンテナー
- このコンテナーは、特定ユーザーのユーザー vault を保存します。
- サービスコンテナー: サービスのプライベートコンテナー
- このコンテナーは、特定のサービスのサービス vault を格納します。
- 共有コンテナー
- このコンテナーは、複数のユーザーまたはサービスで共有できる vault を格納します。
IdM では、ユーザーまたはサービスのプライベート vault が初めて作成されると、ユーザーまたはサービスごとにユーザーコンテナーおよびサービスコンテナーを自動的に作成します。ユーザーまたはサービスが削除されると、IdM はコンテナーとそのコンテンツを削除します。