AWS KMSでのゲートウェイ構成
AWS KMSにKeeperゲートウェイ構成を保存
概要
KeeperゲートウェイがAmazon Web Services (AWS) Elastic Compute Cloud (EC2) インスタンスにインストールされている場合、対応するゲートウェイ構成ファイルをAWS Secrets Mangerに保存して保護することができます。ここの方法により、構成ファイルをインスタンスに保存する必要がなくなり、代わりにAWS KMSに保護された状態で構成ファイルを保存できます。
AWSキー管理サービス (KMS) キー
AWS KMSは、データの暗号化と復号化に使用される暗号化キーを簡単に作成および制御できる、完全に管理されたサービスです。このサービスは他のAWSサービスと統合されているため、データの暗号化とキーの管理が簡単になります。このプロセスの一環としてAWS KMSキーが必要になります。このキーに権限を割り当てる際には、最小権限の原則に従うことをお勧めします。
要件
AWS KMSを使用してKeeperゲートウェイの構成シークレットを保護するには、IAMロールが適用されるEC2インスタンスにKeeperゲートウェイをインストールする必要があります。この方法は、DockerインストールおよびLinuxインストールの両方に対応しています。
構成を作成
プレビュー版Keeperボルトで、[Secrets Manager] > [アプリケーション]に進み、ゲートウェイが構成されたアプリケーションを選択します。その後、[ゲートウェイ]タブを開いて[ゲートウェイのプロビジョン]をクリックします。

ゲートウェイの初期化方法として[構成]を選択し、[次へ]をクリックします。


または、ワンタイムアクセストークンを生成し、Keeperゲートウェイのgateway ott-init
コマンドを利用することも可能です。
いずれの場合でも、base64エンコードされた構成が提供されます。以降の手順で使用しますので保存しておいてください。
AWS Secrets Managerでシークレットを作成
1. AWS Secrets Managerに移動
AWSコンソールから、Secrets Managerへ移動し、新しいシークレットを作成します。
[Other type of secret] (その他の種類のシークレット) を選択します。
[Plaintext] (プレーンテキスト) を選択してBase64の値をすべて貼り付けます。
[Next]をクリックします。
シークレットの名前と説明を入力してから、[Next] > [Next] > [Store]の順にクリックします。


インスタンスロールにポリシーを割り当てる
EC2インスタンスのロールには、以下のように特定のAWS Secrets Managerキーに対する読み取りアクセスを提供するポリシーを割り当てる必要があります。
アクセスを確認
EC2インスタンスから以下のコマンドを実行することで、ポリシーが適用されているかを確認できます。
Keeperゲートウェイの構成
Dockerインストール方式
Dockerインストールの場合、GATEWAY_CONFIG
エントリを削除し、AWS_KMS_SECRET_NAME
を追加して、その値にAWS Secrets Managerのシークレット名を指定します。
その後、新しい環境変数でサービスを更新します。
Linuxインストール方式
Keeperゲートウェイのサービスユニットファイルを開きます。
/etc/systemd/system/keeper-gateway.service
「ExecStart」行を以下のように変更し、「YourSecretName」を割り当てられた名前に置き換えます。
サービスに変更を適用します。
起動時にエラーが発生した場合は、以下のコマンドで確認できます。
最終更新