Vault の使用

概要

警告

ベータリリースでは、予定されている変更内容が、未実装の場合があります。

Vault は、トークン、パスワード、証明書、API キーといったシークレットを保管、格納し、アクセスを厳重に制御します。Vault は、リース、キーの取り消し、キーの変更、監査を行います。

Vault は、安全な key-value ストアとして使用され、Genvid サービスの key-value ストアに安全にアクセスする方法でもあります。

カスタマイズしたシークレットの格納

プロジェクトを定義する config/sample.json ファイルで、カスタマイズしたシークレットを Vault にインポートできます。プロジェクトをインポートした時に、シークレットの構造がインポートされます。

stream.json でのシークレットの構造は次の通りです。

{
  "secrets": {
    "disco": {"GENVID_DISCO_SECRET": "discosecret"},
    "webgateway": {"GENVID_WEBGATEWAY_SECRET": "webgatewaysecret"}
  }
}

Vault の key-value ストアが、以下のキーに変換します。

secret/disco/GENVID_DISCO_SECRET="discosecret"
secret/webgateway/GENVID_WEBGATEWAY_SECRET="webgatewaysecret"

Vault プロセスのステータスの確認

コマンドラインツールを使用して、Vault プロセスのステータスを確認できます。

genvid-bastion status

Vault プロセスのステータスが、 vault is not started または vault.exe running で返されます。

Consul-UI Web インターフェイスで、Vault サービスのステータスを確認することもできます。

genvid-sdk open consul-ui

Services セクションで、Vault サービスをクリックして、画面右側にヘルスチェックを表示します。

Vault Sealed Status が緑色の場合、開いている状態、オレンジ色の場合、閉じているか、使用できない状態です。ヘルスチェックの名前をクリックすると、詳細を確認できます。

左の Vault サービスが利用できない場合、Vault 設定に問題があり、Consul の登録ができないことを意味しています。

コマンドラインから Vault データを確認する

ローカル環境で実行中、環境設定完了後、コマンドラインで Vault データを表示することができます。

genvid-bastion env

確認すべきデータは、 VAULT_ADDRVAULT_KEYS および VAULT_TOKEN です。

クラウド環境では、vault 確認用 API を今後提供予定です。

現時点では、HTTP API GET /secrets/list をご利用ください。