第4章 サービスアカウントパスワードのローテーション
定期的にサービスアカウントパスワードをローテーションして、セキュリティーに関する操作を向上できます。
4.1. オーバークラウドのパスワード管理の概要
オーバークラウド上で実行する OpenStack サービスは、Identity サービス (keystone) の認証情報により認証されます。これらのパスワードは、初期のデプロイメントプロセス時に生成され、heat パラメーターとして定義されます。以下に例を示します。
'MistralPassword', 'BarbicanPassword', 'AdminPassword', 'CeilometerMeteringSecret', 'ZaqarPassword', 'NovaPassword', 'MysqlRootPassword'
Workflow サービス (mistral) ワークフローを使用して、サービスアカウントが使用するパスワードをローテーションできます。ただし、Key Encrypting Keys(KEK) キーおよび Fernet キーなど、DO_NOT_ROTATE
に記載のパスワードがローテーションされません。
DO_NOT_ROTATE_LIST = ( 'BarbicanSimpleCryptoKek', 'SnmpdReadonlyUserPassword', 'KeystoneCredential0', 'KeystoneCredential1', 'KeystoneFernetKey0', 'KeystoneFernetKey1', 'KeystoneFernetKeys', )
これらのパスワードは、以下の理由により DO_NOT_ROTATE
一覧にあります。
-
DO_NOT_ROTATE
: このパスワードを変更するには、すべてのシークレットを再暗号化する必要があります。 -
KeystoneFernetKey
およびKeystoneCredential
: これらのワークフローをローテーションするためにすでに別のワークフローが存在します。詳細は、{defaultURL}/deploy_fernet_on_the_overcloud/sec-fernet#rotate_the_fernet_keys_using_mistral を参照してください。