3.8 シークレット管理 on JP1 Cloud Service 運用統合利用ガイド

3.8.1 シークレットの登録

Mon, 01 Jan 0001 00:00:00 +0000

ワークフロー実行の前提設定として、Vaultと連携する環境のシークレットを登録する必要があります。PlaybookがGitに登録されているため、Gitとの連携は必須です。以下にGitとの連携を例に操作方法を記載します。他に連携が必要な環境についても同様に設定してください。（1）Secrets Engines作成 1. SecretsタブのSecrets Engines画面で「Enable new engines」をクリックすると、Secret Engines選択画面に遷移します。 2.「KV」を選択し、「Next」をクリックすると、Secrets Engines設定画面に遷移します。 3.「Path」に「secrets/（任意のSecrets Engine名）」を入力し「Enable Engine」をクリックすると、Secrets Engineが作成され、Secret作成画面に遷移します。このとき作成したSecrets Engine名は自動化の認証情報登録時に使用します。自動化については「認証情報の登録」を参照してください。（2）Secretの作成 1. Secret作成画面の「Create secret」をクリックすると、Secret情報登録画面に遷移します。 2. 「Path for this secret」に任意のパス（gitなど）を入力し、「Secret data」に任意のkey（git_access_tokenなど）、「value」にGitLabアクセストークンの値を入力後、[Add]ボタン、[Save]ボタンをクリックします。 GitLabアクセストークン取得方法は「GitLabアクセストークン取得方法」を参照してください。このとき設定したパスおよびkey名称は自動化の認証情報の登録時に使用します。自動化については「認証情報の登録」を参照してください。（図）シークレット情報登録画面（3）自動化からシークレットにアクセスするための認証情報の取得下図のコマンド入力画面から下記のコマンドを実行し、AppRoleのロールIDとシークレットIDを取得してください。「自動化」の設定時に使用するためメモなどで記録してください。このとき取得したIDは自動化の認証情報の登録時に使用します。自動化については「認証情報の登録」を参照してください。 AppRoleのロールID vault read -field=role_id auth/approle/role/automation/role-id AppRoleのシークレットID vault write -force -field=secret_id auth/approle/role/automation/secret-id （図）コマンド入力画面

3.8.2 シークレットの変更

Mon, 01 Jan 0001 00:00:00 +0000

シークレットの変更は、以下の方法で行うことができます。バージョンをインクリメントする形で変更する方法シークレットを削除後、再度作成する方法バージョンをインクリメントする形でシークレットを変更した場合は、シークレットのバージョンが変更されます。WorkflowのYAMLファイルで、シークレットのバージョンを指定している場合、指定したシークレットのバージョンと常に一致している必要があります。シークレットのバージョンを指定する場合のWorkflowのYAMLファイルの記載例は、「ユーザーのクレデンシャル情報登録」を参照してください。（1）バージョンをインクリメントする形で変更する方法登録されているシークレット情報登録画面を表示し、「Create new version」をクリックします。（図）シークレット情報登録画面（新規バージョン作成）「Version data」を入力し、「Save」をクリックします。追加したい場合、「Add」をクリックすると複数入力が可能です。（図）シークレット新規バージョン詳細入力画面 Version 2が作成されました。（図）シークレット情報登録画面（新規バージョン作成完了）（2）シークレットを削除後、再度作成する方法登録されているシークレット情報登録画面を表示し、「Delete」をクリックします。（図）シークレット情報登録画面（削除画面）削除方法「Destroy all versions」を選択し、実行します。（図）シークレット削除方法選択画面シークレットを再度作成します。シークレットの作成方法は「Secretの作成」および「自動化からシークレットにアクセスするための認証情報の取得」を参照してください。

3.8.3 ユーザーのクレデンシャル情報登録

Mon, 01 Jan 0001 00:00:00 +0000

ワークフローのYAMLファイルで、actionラベルに「Ops I提供部品」の「oi.fetch_access_token」などを設定した場合、inputラベルにユーザーのクレデンシャル情報が格納されたシークレット情報を記載します。＜記載例：oi.fetch_access_tokenの場合＞ tasks: # fetch Ops I API access token. fetch_access_token: action: oi.fetch_access_token input: opsi_user_secret_mount_point: secrets/opsi opsi_user_secret_path: /user/credential opsi_user_secret_kv_version: 2 opsi_user_secret_version: "1" next: - when: <% succeeded() %> publish: - opsi_access_token: <% result().output.access_token %> - domain_name: <% result().output.origin %> - when: <% failed() %> do: fail シークレットのバージョンをYAMLファイルで定義した場合、指定したシークレットのバージョンと常に一致している必要があります。そのため、シークレットの変更によりバージョンが更新された場合は、YAMLファイルのバージョンの値も更新してください。シークレットのバージョンを定義しない場合は、常に最新のバージョンのシークレットが使用されます。ワークフローのYAML定義については「Workflow」を参照してください。ユーザーのクレデンシャル情報登録方法を以下に示します。（1）Secrets Engineの作成作成方法は「Secrets Engines作成」を参照してください。（2）Secretの作成作成方法は「Secretの作成」を参照し下記を登録してください。（表）ユーザー登録内容 key value username Ops Iアクセストークンを取得するユーザー名 password Ops Iアクセストークンを取得するユーザーのパスワード domain Ops IのFQDN（例："テナント名.ops-integration.com"）

3.8 シークレット管理 on JP1 Cloud Service 運用統合 利用ガイド

3.8.1 シークレットの登録

3.8.2 シークレットの変更

3.8.3 ユーザーのクレデンシャル情報登録

3.8 シークレット管理 on JP1 Cloud Service 運用統合利用ガイド