編集

Google Cloud Key Managementでの暗号化

シークレットマネージャーの接続情報をGoogle Cloud Key Managementで保護

KeeperシークレットマネージャーはGoogle Cloud Key Managementと連携し、Keeperシークレットマネージャーの構成ファイルを暗号化できるようにします。この連携により、マシン上の接続情報を保護しながら、すべてのシークレット認証情報に対するKeeperのゼロ知識暗号化の利点を活用できます。

機能

  • Google Cloud Key Managementを使って、Keeperシークレットマネージャーの構成ファイルを暗号化および復号化します。

  • シークレットマネージャーの接続情報への不正アクセスを防止します。

  • 保護のためにコードに加える変更は最小限で済みます。すべてのKeeperシークレットマネージャーSDK機能で動作します。

要件

  • Keeper SecurityとGoogle Cloud Key Managementを連携するには、.jsonで終わるサービスアカウントキーが必要です。

  • この連携でサポートされるキーの構造は以下の形式です。 projects/<project_name>/locations/<location_name>/keyRings/<key_ring_name>/cryptoKeys/<key_name>/cryptoKeyVersions/<key_version>

  • Java/Kotlin用シークレットマネージャーSDKに対応

  • GCPパッケージgoogle-cloud-kmsが必要

  • GCP CKMキーにENCRYPTおよびDECRYPTの権限が必要

セットアップ

1. モジュールのインストール

GradleまたはMavenを使用してプロジェクトをセットアップ

Gradle

Maven

2. Google CKM接続を構成

Google Cloud Platform (GCP) で安全に認証を行うには、JSON形式のサービスアカウントキーを作成します。この認証情報ファイルは、GCPのサービスとプログラム経由でやり取りする際の認証手段として使用されます。

キーの生成の詳細については、Googleのドキュメントをご参照ください。

3. コードにGCPキーボルトストレージを追加

GCP接続の設定が完了したら、統合機能を使ってKSM構成を暗号化および復号化するためのキーを取得できます。また、シークレットマネージャーSDKに、KMSをストレージとして使用するよう指示する必要があります。

GCPキーボルト統合の使用

セットアップが完了すると、シークレットマネージャーのGCPキー・ボールト統合は、シークレットマネージャーSDKのすべての機能に対応します。KSM構成ファイルを暗号化・復号化するには、コードからGCPのCKMキーへアクセスできる必要があります。

指定した接続認証情報の使用

この操作を行うには、GcpKeyValueStorageインスタンスを作成し、それをSecretManagerOptionsのコンストラクタに渡します。

GcpKeyValueStorageには、シークレットマネージャーの構成ファイル名、GCP認証情報ファイル、およびCloud Key Managementのキー情報が必要です。

追加オプション

キーの変更

KSM構成の暗号化に使用するキーは変更可能です。以下の例では、そのキーを使用するために必要なコードを示しています。

構成を復号化する

現在の実装を別のクラウドに移行する場合や、生の認証情報を取り出したい場合は、構成ファイルを復号化できます。この関数はブール値を受け取り、trueに設定すると復号された構成をファイルに保存し、falseの場合は復号された構成を返すだけになります。

KSM統合機能を使用する準備ができました。

その他の例と機能については、KSM SDKのドキュメントをご参照ください。

前へGoogle Cloud Secret Managerとの同期次へHashicorp Vault

最終更新