Secrets Managerの設定

Keeper Secrets Managerの設定ファイルに関する情報

概説

Keeper Secrets Manager SDKおよび統合機能では必ず、Keeper Secrets Manager APIによるデータの認証と復号化に使用する、接続トークン、暗号化鍵、識別子、およびドメイン情報を格納するための「設定」が使用されます。

Secrets Managerの設定はワンタイムアクセストークンから作成され、クライアントデバイスと1対1の関係を確立します。

一貫した設定

すべてのKeeper Secrets Manager SDKおよび統合機能は、同じ設定形式を使用します。raw形式の設定はJSON形式ですが、base64形式を指定する統合機能もあります。

Secrets Managerの設定を作成

Keeperボルトを使用

Secrets Managerの設定は、新しいSecrets Managerデバイスを作成するときにKeeper ボルトで作成できます。

まず、Secrets Managerタブに移動して、リストからアプリケーションを選択します。

次に、右側のアプリケーションペインで「デバイス(Devices)」タブを選択し、「編集(Edit)」をクリックして編集モードに移行します。

編集ビューから「デバイスの追加(Add Device)」をクリックして、アプリケーションに新しいSecrets Managerデバイスを作成できます。

「デバイスの追加(Add Device)」メニューが表示されます。このデバイスの名前を入力し、メソッドのドロップダウンから「設定ファイル(Configuration File)」を選択します。

「設定ファイル(Configuration File)」を選択すると、設定を取得するためのオプションが表示されます。 Base64またはjson形式で設定を生成し、その設定をファイルにダウンロードすることも、クリップボードにコピーすることもできます。

ほとんどのSecrets Manager統合機能ではbase64文字列を使用しますが、状況によってはjsonファイルが必要になる場合もあります。

準備ができたら、ダウンロードボタンまたはコピーボタンをクリックして設定を取得します。 初回の実行時に、デバイスが作成されることにご注意ください。 設定は何度でもダウンロードまたはコピーできます。

SDK/統合機能を使用

多くのKeeper Secrets Manager SDKおよび統合機能は、独自の設定ファイルの作成をサポートしています。 ワンタイムアクセストークンを渡せば、設定は自動的に作成されます。

SDKの使用例

Python SDKを使用した設定ファイルの作成方法の例を以下に示します。設定は、Secrets Managerがワンタイムアクセストークンで初期化されるときに作成されます。

from keeper_secrets_manager_core import SecretsManager
from keeper_secrets_manager_core.storage import FileKeyValueStorage

secrets_manager = SecretsManager(
    token='<One Time Access Token>',
    config=FileKeyValueStorage('config.json')
)

この例では、設定は「config.json」という名前のファイルに保存されています。

SDKを使用して設定を作成する場合は、設定ファイルの初期化と作成は1回だけで済みます。 ファイルが作成されたら、そのファイルを使用してSDKを初期化し、ワンタイムアクセストークンを削除できます。

統合の例

Keeper Secrets Manager Jenkinsプラグインの使用例を以下に示します。

Jenkinsプラグインは、ワンタイムアクセストークンを取得して初期化し、バックグラウンドで設定を自動的に作成します。 この例では、フォームにワンタイムアクセストークンを入力して、「OK」をクリックするだけです。

CLIツールを使用

Secrets Managerの設定は、Secrets Manager CLIおよびCommander CLIツールを使用して、ワンタイムアクセストークンから初期化できます。 一部のKeeper Secrets Manager統合機能では、事前に初期化された設定が必要です。このような場合は、CLIツールを使用して設定を作成する必要があります。

Secrets Manager CLI

Secrets Manager CLI(KSM)ツールは、ワンタイムアクセストークンを初期化して、設定を作成できます。

そのためには、initコマンドを実行します。

# 設定をJSON形式で初期化して表示
$ ksm init default <One Time Access Token>

# 設定をk8s形式で初期化して表示
$ ksm init k8s <One Time Access Token>

# JSON設定を初期化してファイルに保存
$ ksm init default --plain <One Time Access Token> > <FILENAME>

Commander CLI

Commander CLI を使用して、ワンタイムアクセストークンを初期化し、Secrets Managerの設定を作成できます。

secrets-manager client addコマンドに--config-initを指定して設定を作成します。 設定は、json形式もしくはbase64形式、または場合によっては統合機能固有の形式で作成できます(各統合機能で指定できる形式の詳細は、統合機能のドキュメントをご参照ください)

my vault> secrets-manager client add --app <APP NAME> --config-init <FORMAT>

Commanderで設定を初期化する場合、通常は--unlock-ip をコマンドに指定する必要があります。 指定していない場合、クライアントデバイスはCommanderが使用しているIPアドレスに固定されます。

最終更新