AWS KMSでのゲートウェイ構成

概要

KeeperゲートウェイがAmazon Web Services (AWS) Elastic Compute Cloud (EC2) インスタンスにインストールされている場合、対応するゲートウェイ構成ファイルをAWS Secrets Mangerに保存して保護することができます。ここの方法により、構成ファイルをインスタンスに保存する必要がなくなり、代わりにAWS KMSに保護された状態で構成ファイルを保存できます。

AWSキー管理サービス (KMS) キー

AWS KMSは、データの暗号化と復号化に使用される暗号化キーを簡単に作成および制御できる、完全に管理されたサービスです。このサービスは他のAWSサービスと統合されているため、データの暗号化とキーの管理が簡単になります。このプロセスの一環としてAWS KMSキーが必要になります。このキーに権限を割り当てる際には、最小権限の原則に従うことをお勧めします。

要件

AWS KMSを使用してKeeperゲートウェイの構成シークレットを保護するには、IAMロールが適用されるEC2インスタンスにKeeperゲートウェイをインストールする必要があります。この方法は、DockerインストールおよびLinuxインストールの両方に対応しています。

• Dockerインストール

• Linuxインストール

構成を作成

プレビュー版Keeperボルトで、[Secrets Manager] > [アプリケーション]に進み、ゲートウェイが構成されたアプリケーションを選択します。その後、[ゲートウェイ]タブを開いて[ゲートウェイのプロビジョン]をクリックします。

ゲートウェイの初期化方法として[構成]を選択し、[次へ]をクリックします。

または、ワンタイムアクセストークンを生成し、Keeperゲートウェイのgateway ott-initコマンドを利用することも可能です。

いずれの場合でも、base64エンコードされた構成が提供されます。以降の手順で使用しますので保存しておいてください。

AWS Secrets Managerでシークレットを作成

1. AWS Secrets Managerに移動

AWSコンソールから、Secrets Managerへ移動し、新しいシークレットを作成します。

• [Other type of secret] (その他の種類のシークレット) を選択します。

• [Plaintext] (プレーンテキスト) を選択してBase64の値をすべて貼り付けます。

• [Next]をクリックします。

シークレットの名前と説明を入力してから、[Next] > [Next] > [Store]の順にクリックします。

インスタンスロールにポリシーを割り当てる

EC2インスタンスのロールには、以下のように特定のAWS Secrets Managerキーに対する読み取りアクセスを提供するポリシーを割り当てる必要があります。

アクセスを確認

EC2インスタンスから以下のコマンドを実行することで、ポリシーが適用されているかを確認できます。

Keeperゲートウェイの構成

Dockerインストール方式

Dockerインストールの場合、GATEWAY_CONFIGエントリを削除し、AWS_KMS_SECRET_NAMEを追加して、その値にAWS Secrets Managerのシークレット名を指定します。

その後、新しい環境変数でサービスを更新します。

Linuxインストール方式

Keeperゲートウェイのサービスユニットファイルを開きます。

/etc/systemd/system/keeper-gateway.service

「ExecStart」行を以下のように変更し、「YourSecretName」を割り当てられた名前に置き換えます。

サービスに変更を適用します。

起動時にエラーが発生した場合は、以下のコマンドで確認できます。