Heroku

KeeperシークレットマネージャーでHerokuアプリケーションの機密シークレットを保存

機能

シークレット認証情報をKeeperボルトに安全に保存し、Herokuで公開せずに利用
KeeperボルトからHerokuアプリへファイルをコピー
Herokuから他のシークレットマネージャーSDK機能 (レコード作成やTOTPコードなど) を利用

Keeperシークレットマネージャーの機能一覧については、概要をご参照ください。

概要

Herokuには、アプリケーションの設定変数を保存する機能があります。ただし、値は閲覧可能な形式で保存されます。Keeperシークレットマネージャーを使用すると、機密シークレットをゼロ知識環境のKeeperボルトに保存できます。

Herokuでは、以下のKeeperシークレットマネージャーSDKを使用できます。

以下の例では、KeeperシークレットマネージャーとHerokuの連携でできることを確認できます。

例 - Python SDKを使用したSlack通知

この例では、KeeperシークレットマネージャーSDKでWebhookトークンを取得し、HerokuウェブアプリケーションからSlackチャネルにメッセージを送信します。

Slackの設定

最初の手順は、SlackインスタンスからWebhookトークンを取得することです。SlackのWebサイトにログインし、Your Appsに移動します。

[Create New App] ボタンをクリックし、ダイアログで [From scratch] を選択して新しいアプリを作成します。App Nameを入力し、アプリを開発するワークスペースを選択します。

次に、Incoming Webhooksボタンをクリックします。

Incoming Webhooksをオンにします。Webhook URLs for Your Workspaceセクションが表示されたら、[Add New Webhook to Workspace] ボタンをクリックします。

ワークスペース内のチャネルを選択します。

Incoming Webhooksページの下部にWebhook URLが表示されます。この例では、URLをCopyしてKeeperボルトのレコードに保存します。

Keeperボルトの設定

Keeperボルトで、共有フォルダ内にSlackWebhook URLを保存するログインレコードを作成します。共有フォルダはアプリケーションに追加できます。詳細はクイックスタートガイドをご参照ください。

Webhook URLをログインレコードの**[Website Address]フィールドにコピーして保存します。保存後、レコードの情報アイコンをクリックしてレコードUIDを確認します。レコードUIDのURLをクリップボードにコピーすると、実際のレコードUID**を含められます。必要なのはURL内のUID部分のみです。

Heroku

この例では、HerokuアカウントとPython 3が必要です。次に、手順に従ってHeroku CLIをインストールします。

Heroku CLIをインストールしたら、アプリケーションを作成できます。

$ heroku create
Creating app... done, ⬢ random-name-30564
https://random-name-30564.herokuapp.com/ | https://git.heroku.com/random-name-30564.git

生成されるアプリケーション名は、この例とは異なります。

空のGitリポジトリが作成されます。リポジトリをクローンできます (空である旨の警告が表示されます)。その後、リポジトリディレクトリに移動します。

$ git clone https://git.heroku.com/random-name-30564.git
Cloning into 'random-name-30564'...
warning: You appear to have cloned an empty repository.

$ cd random-name-30564

リポジトリをクローンしたら、設定変数を設定できます。設定が必要な変数は2つです。1つ目はRECORD_UIDで、Webhook URLを含むレコードのUIDです。2つ目はKSM_CONFIGで、Base64エンコードされたシークレットマネージャー構成を含みます。

Base64構成の作成方法については、構成ドキュメントをご参照ください。

$ heroku config:set RECORD_UID=XXXXXX
Setting RECORD_UID and restarting ⬢ random-name-30564... done, v11
RECORD_UID: XXXXXX

$ heroku config:set KSM_CONFIG=ewogI ..... Igp9
Setting KSM_CONFIG and restarting ⬢ random-name-30564... done, v11
KSM_CONFIG: ewogI ..... Igp9

設定変数の準備ができたら、アプリケーションを追加します。最初の手順は、Python 3アプリケーションの要件を定義することです。requirements.txtには、ウェブサイト用のFlask、Slack通信用のslack_sdk、シークレットマネージャー通信用のkeeper-secrets-manager-coreが含まれます。

$ cat << EOF > requirements.txt
Flask
slack_sdk
keeper-secrets-manager-core
EOF

任意のエディタで、以下の内容をapp.pyに保存します。

import os
from flask import Flask, request
from slack_sdk.webhook import WebhookClient
from keeper_secrets_manager_core import SecretsManager

app = Flask(__name__)
secret_manager = SecretsManager()
record_id = os.environ.get("RECORD_UID")
webhook = WebhookClient(secret_manager.get_notation("{}/field/url".format(record_id)))


@app.route('/')
def hello():

    message = request.args.get("message")
    if message is not None and message != "":
        response = webhook.send(text=message)

    html = """
<html>
    <head><title>Send a Slack Message</title></head>
    <body>
        <form method="GET">
            Message:
            <input type="text" name="message" />
            <input type="submit" />
        </form>
    </body>
</html>
    """

    return html


if __name__ == '__main__':
    port = int(os.environ.get('PORT', 5000))
    app.run(host='0.0.0.0', port=port)

フォーム入力ボックスと送信ボタンを表示するシンプルなFlaskウェブアプリケーションです。入力したテキストはSlackチャネルに送信されます。

最後に、ProcfileでHerokuにアプリケーションの起動方法を指定します。

$ cat << EOF > Procfile
web: python app.py
EOF

アプリケーションを実行する準備ができました。Gitリポジトリにファイルを追加し、mainブランチをプッシュすると、ビルドと起動が行われます。

$ git add requirements.txt app.py Procfile
$ git commit -m "Initial Commit"
[main 0f31f23] Initial Commit
 3 file changed, 0 insertion(+), 0 deletion(-)
...

$ git push origin main
...
remote: Compressing source files... done.
remote: Building source:
remote:
remote: -----> Building on the Heroku-20 stack
remote: -----> Using buildpack: heroku/python
remote: -----> Python app detected
remote: -----> No Python version was specified. Using the same version as the last build: python-3.9.9
remote:        To use a different version, see: https://devcenter.heroku.com/articles/python-runtimes
remote: -----> No change in requirements detected, installing from cache
remote: -----> Using cached install of python-3.9.9
remote: -----> Installing pip 21.3.1, setuptools 57.5.0 and wheel 0.37.0
remote: -----> Installing SQLite3
remote: -----> Installing requirements with pip
remote: -----> Discovering process types
remote:        Procfile declares types -> web
remote:
remote: -----> Compressing...
remote:        Done: 62.4M
remote: -----> Launching...
remote:        Released v13
remote:        https://random-name-30564.herokuapp.com/ deployed to Heroku
remote:
remote: Verifying deploy... done.
To https://git.heroku.com/random-name-30564.git
   89b16a2..fda1835  main -> main

URL (https://random-name-30564.herokuapp.com/) にアクセスするか、以下のコマンドでウェブサイトを開けます。

$ heroku open

シンプルなウェブサイトが表示されます。メッセージを入力してSubmitをクリックします。

作成したWebhookのチャネルにメッセージが表示されます。

前へHarness CIプラグイン次へJenkinsプラグイン

最終更新 1 日前