search

Entrust HSM

Entrust HSMを使用してSecrets Manager接続に関する詳細情報をローカルに保護

Keeperシークレットマネージャーは、Entrust HSMと統合することで、Keeperシークレットマネージャーの構成ファイルを暗号化できます。この統合により、マシン上の接続情報を保護しながら、すべてのシークレット認証情報に対してKeeperのゼロ知識暗号化を活用できます。

hashtag
機能

  • Entrust HSMを使用して、KSM構成ファイルを暗号化および復号化します。

  • シークレットマネージャーの接続への不正アクセスから保護します。

  • コードにわずかな変更を加えるだけで保護できます。 KSM Python SDKのすべての機能を使用できます。

hashtag
要件

  • Python Secrets Manager SDKに対応

  • Pythonモジュールは、nShieldネイティブアプリケーションとしてビルドする必要があります。

    • Entrust nShieldソフトウェア (Security World 12.80以降) のSDK ISOイメージのPython (v3.8.5) モジュールとnfpythonモジュールを使用

  • Virtualenvを推奨

hashtag
セットアップ

hashtag
1. Virtualenvを作成して構成

この手順はオプションですが、開発環境では推奨されます。

virtualenv作業環境を作成します

/opt/nfast/python3/bin/python3 -m venv --copies venv

開発を始める前にvirtualenv環境を有効化します

. venv/bin/activate

hashtag
2. KSMストレージとnfpythonモジュールのインストール

シークレットマネージャーHSMモジュールは、Keeperシークレットマネージャーストレージモジュールに格納されており、pipを使用してインストールできます。

Entrust HSMを利用するには、nfpythonパッケージもインストールする必要があります。 このパッケージは、EntrustインストールでnShieldパッケージの一部としてインストールされます。

Linuxの場合

Windowsの場合

hashtag
3. Entrust HSMストレージをコードに追加

SecretsManagerコンストラクタで、HsmNfastKeyValueStorageをシークレットマネージャーストレージとして使用します。

HsmNfastKeyValueStorageには、メソッドとID (この例ではそれぞれ「simple」と「ksmkey」) が必要です。

circle-check

これで、シークレットマネージャーとEntrust NShield HSMを連携する準備が整いました。

hashtag
シークレットマネージャーとEntrust HSMの連携

設定が完了すると、シークレットマネージャーとEntrustの連携により、シークレットマネージャーSDKのすべての機能が利用できるようになります。 実行時に設定ファイルの復号化を管理するには、コードがnShield HSMにアクセスできる必要があります。

circle-info

その他の例と機能については、KSM SDKのドキュメントをご参照ください。

hashtag
テスト用の暗号化キーの作成

Entrust nShield HSMによる暗号化をテストするには、以下のコマンドを使用します。

これらの例の「ksmkey」は、HSM内のIDに置き換えてください。

Linuxの場合

Windowsの場合

前へDocker Writerイメージ次へGit - SSHでコミットに署名

最終更新

役に立ちましたか?