HashiCorp Vault は『Secrets 管理の決定版』
Vault は Secrets 管理・暗号化・PKI 等を統合提供し、大規模環境で広く採用されています。本記事では編集部の視点で、深掘りした活用を公開情報をもとに整理します。Secrets 管理 もご参考に。
主要な機能
(1) Key/Value Secrets。(2) Dynamic Secrets:DB/AWS 認証情報を都度発行。(3) PKI:証明書発行。(4) Encryption as a Service:Transit。(5) SSH Certificate。
Dynamic Secrets
(1) DB credentials を都度発行。(2) 短期有効:時間で自動失効。(3) 監査ログ:誰が何時取得したか。(4) 長期キー不要:盗難リスク低減。(5) AWS/GCP credentials も対応。
Policy 管理
(1) HCL で policy 記述。(2) path-based 認可。(3) capabilities:read/write/list等。(4) 最小権限原則。(5) 定期見直し。
Auth Methods
(1) Token:基本。(2) AppRole:マシン認証。(3) Kubernetes:ServiceAccount。(4) AWS IAM。(5) OIDC:人間ユーザー。OAuth/OIDC 実装 もご参考に。
本番運用
(1) HA 構成:3〜5ノード。(2) auto-unseal:AWS KMS 等。(3) backup:snapshot。(4) 監視:Prometheus。(5) 監査ログ必須。Observability 実践 もご参考に。
Kubernetes 統合
(1) Vault Agent Injector:Pod に自動注入。(2) External Secrets Operator。(3) CSI Driver:Volume として。(4) ServiceAccount 認証。(5) Helm Chart提供。k8s セキュリティ もご参考に。
OSS vs Enterprise vs HCP
(1) OSS:基本機能無料。(2) Enterprise:高度機能(DR/Performance Standby/etc)。(3) HCP Vault:マネージド版。(4) 料金:規模で大幅変動(公開情報をもとに)。(5) 選択軸:運用負荷と機能。
代替選択肢
(1) AWS Secrets Manager。(2) GCP Secret Manager。(3) Azure Key Vault。(4) Doppler/1Password Secrets Automation。(5) Bitwarden Secrets Manager。Secrets 管理 もご参考に。
失敗しがちなパターン
(1) root token 取扱いミス。(2) auto-unseal なしで運用負荷大。(3) Policy 雑:権限過剰。(4) バックアップなし。(5) HA 未構成:SPOF。対策は、(1)即無効化、(2)KMS統合、(3)定期見直し、(4)snapshot 自動化、(5)3ノード以上、です。