Kubernetes外部シークレットオペレータ

KeeperシークレットマネージャーのシークレットをKubernetes外部シークレットオペレータと同期

概要

Kubernetes External Secrets Operatorは、各種外部APIからシークレットを同期し、Kubernetesへ挿入します。本ページでは主にExternal Secretsのセットアップ手順と、KeeperボルトからKubernetesへのシークレット同期を取り扱います。

External Secrets Operatorのドキュメントはこちらをご参照ください。

機能

External SecretsによるKeeperボルトからKubernetesへのシークレット同期
全ポッドからKeeperボルトのシークレットへのリアルタイムアクセス

要件

本ページでは、KeeperシークレットマネージャーとKubernetes External Secrets Operatorの連携について取り扱います。本連携を利用するには、以下が必要です。

Keeperシークレットマネージャーへのアクセス（クイックスタートガイドをご参照ください）
- Keeperのサブスクリプションでシークレットマネージャーアドオンが有効になっていること
- シークレットマネージャーポリシーが有効なロールに所属していること
シークレットが共有されているKeeperシークレットマネージャーアプリケーション
- アプリケーションの作成手順については、クイックスタートガイドをご参照ください
- シークレットの読み書きができるよう、デバイスに適切な権限を付与すること
初期化済みのKeeperシークレットマネージャー構成
以下のコマンドがインストールされていること
- helm（Kubernetes向けパッケージマネージャー）
- kubectl（Kubernetes向けコマンドラインツール）

設定

Helmで External Secrets をインストール

Helm で External Secrets をインストールするには、以下のコマンドを実行します。

helm repo add external-secrets https://charts.external-secrets.io

helm install external-secrets \
    external-secrets/external-secrets \
    -n external-secrets \
    --create-namespace

Base64 KSM構成を格納する Kubernetes シークレットの作成

デバイス用のシークレットマネージャー構成を作成すると、接続トークン、暗号化キー、識別子、ドメイン情報を含むBase64 JSON文字列が得られます。これらはKeeperシークレットマネージャーAPIからのデータの認証と復号化に使用されます。

Base64 JSON 構成文字列は External Secrets によって設定され、Keeper Security への認証に使用されます。通常の Kubernetes シークレット内で定義します。

以下のコマンドを実行すると、Keeperシークレットマネージャーへの認証に使用する Kubernetes シークレットが作成されます。

kubectl apply -f - <<EOF
apiVersion: v1
kind: Secret
metadata:
  name: ksm-config-secret # KSM構成を格納するk8sシークレットの名前
type: Opaque
data:
  ksm_config: "[REPLACE WITH YOUR BASE64 JSON string]"
EOF

注上記コード例の2〜8行目はYAMLファイルに保存し、kubectl apply で適用できます。たとえば、2〜8行目を secrets.yaml に保存し、以下を実行します。

kubectl apply -f secret.yaml

SecretStore の作成

Base64 JSON 文字列を ksm_config に設定した Kubernetes シークレットを作成したら、SecretStore を作成できます。

以下のコマンドを実行すると、SecretStoreが作成されます。

kubectl apply -f - <<EOF
apiVersion: external-secrets.io/v1beta1   
kind: SecretStore
metadata:
  name: my-external-secrets-secretstore   # KSMから取得したシークレットを格納するSecretStoreの名前
spec:
  provider:
    keepersecurity:                       # SecretStoreプロバイダ名（本例ではKeeperSecurity）
      authRef:
        name: ksm-config-secret           # KSM構成を格納するk8sシークレットの名前
        key: ksm_config                   # KSM構成を格納するk8sシークレットのキー
      folderID: "[SHARED FOLDER UID]"     # レコードが保存されているKeeperSecurity共有フォルダのUID
                                          #   フォルダがKSMアプリケーションに共有されていることを確認
EOF

上記コード例では、ボルト内でレコードが保存されている共有フォルダの UID を folderID に指定します

ClusterSecretStore の場合は、作成したシークレットの名前空間を SecretAccessKeyRef の namespace に指定してください

上記コード例の2〜13行目はYAMLファイルに保存し、kubectl apply で適用できます。たとえば、2〜13行目を secretstore.yaml に保存し、以下を実行します。

kubectl apply -f secretstore.yaml

ExternalSecret の作成

次に、ExternalSecret を作成します。

以下のコード例ではExternalSecretを作成し、指定レコードのログインおよびパスワードフィールドの値をKubernetesシークレットに格納します。これらのフィールドは target.template.data セクションで定義されます（本例では refreshInterval は12時間）。利用可能なフィールドの一覧はこちらをご参照ください。

kubectl apply -f - <<EOF
apiVersion: external-secrets.io/v1beta1
kind: ExternalSecret
metadata:
 name: ksm-external-secret
spec:
 refreshInterval: 12h               # SecretManagerがKeeperSecurityから取得する間隔
                                    #   本例では12時間。12h以上を推奨
 secretStoreRef:                    # 上記で定義したSecretStoreへの参照（Keeper Security認証用）
   kind: SecretStore                # シークレットストアの種類（上記定義と同じ値）
   name: my-external-secrets-secretstore  

 dataFrom:                          # KSMから取得するレコードの指定
   - extract:
       key: "[RECORD UID]"          # シークレット取得元のKeeperレコードUID
 target:                            # 取得したシークレットの格納先
   name: my-external-secrets-values # 作成するk8sシークレットの名前
   creationPolicy: Owner            # k8sシークレットが存在しない場合に作成
   template:
     engineVersion: v2          
     data:
       username: "{{ .login }}"     # Keeper Securityのloginフィールド値を
                                    # k8sシークレットのusernameキーに格納
       password: "{{ .password }}"  # Keeper Securityのpasswordフィールド値を
                                    # k8sシークレットのpasswordキーに格納
       name: "{{  (fromJson .name).first }} {{  (fromJson .name).middle }} {{  (fromJson .name).last }}" # JSON文字列を変数にデコード
EOF

上記コード例では、"[RECORD UID]" を対象レコードUIDに置き換えてください

name、phone、bankAccount など単一の文字列値に対応しない複雑なタイプでは、External Secrets は完全な JSON 文字列を返します。JSON テンプレート関数でデコードしてください

上記コード例の2〜27行目はYAMLファイルに保存し、kubectl apply で適用できます。たとえば、2〜27行目を externalsecret.yaml に保存し、以下を実行します。

kubectl apply -f externalsecret.yaml

動作

レコードと ExternalSecret の対応関係
- remoteRef.key はレコード ID に対応
- remoteRef.property は以下のいずれかに対応
  - フィールド: レコードのフィールドタイプ
  - CustomFields: レコードのフィールドラベル
  - Files: レコードのファイル名
  - 未指定の場合、レコード全体が JSON 形式で返される
- remoteRef.version は現時点では未対応
dataFrom
- find.path は現時点では未対応
- find.name.regexp は以下のいずれかに対応
  - フィールド: レコードのフィールドタイプ
  - CustomFields: レコードのフィールドラベル
  - Files: レコードのファイル名
- find.tags は現時点では未対応

制限事項

本プロバイダの利用には、以下の制限があります。

KSM はレガシーの非型付きレコードでは動作しない
KSM では find.tags によるタグ指定は利用できない
現時点では find.path は利用できない

プッシュシークレット

プッシュシークレットは、カスタム KeeperSecurity レコードタイプ ExternalSecrets でのみ動作します。

動作

selector
secret.name: プッシュ対象の Kubernetes シークレット名
data.match
secretKey: プッシュ対象となる選択済みシークレット内のキー
remoteRef.remoteKey: リモートプロバイダ上に作成するシークレットとキー
- 形式: SecretName/SecretKey

PushSecret の作成

KubernetesからKeeper Securityのレコードを作成するには、Kind=PushSecret が必要です。

kubectl apply -f - <<EOF
apiVersion: external-secrets.io/v1alpha1
kind: PushSecret
metadata:
  name: example
spec:
  secretStoreRefs:
    - name: keeper
      kind: SecretStore
  refreshInterval: "1h"
  deletionPolicy: Delete
  selector:
    secret:
      name: secret-name # プッシュ対象のk8sシークレット
  data:
    - match:
        secretKey: secret-key # プッシュ対象のk8sシークレット内キー
        remoteRef:
          remoteKey: remote-secret-name/remote-secret-key # "remote-secret-name"というレコードと"remote-secret-key"キーを作成
EOF

上記コード例の2〜19行目はYAMLファイルに保存し、kubectl apply で適用できます。たとえば、2〜19行目を pushsecret.yaml に保存し、以下を実行します。

kubectl apply -f pushsecret.yaml

使用中のKSMアプリケーション内に、タイトル remote-secret-name のレコードが1件のみ存在することを確認してください

制限事項

現時点では、シークレットあたり1キーのみプッシュ可能
選択した名前のレコードは存在するがキーが存在しない場合、レコードは更新できない

セットアップの確認

Kubernetes シークレット、SecretStore、ExternalSecretの設定後、kubectl get secrets コマンドでシークレットを取得できます。

上記のコード例では、シークレット名は my-external-secrets-values で、以下のレコード値が格納されます。

data:
       username: "{{ .login }}"                                      
       password: "{{ .password }}"

ログインとパスワードの値を取得するには、以下のコマンドを実行します。

$ kubectl get secret my-external-secrets-values -o jsonpath="{.data}"
{"password":"a2lsbCB5b3U=","username":"SSB3aWxs"}

上記の応答はエンコードされているため、デコードするには以下を実行します。

$ kubectl get secret my-external-secrets-values -o jsonpath="{.data.password}" | base64 --decode
pAs$w0rd

まとめ

本ページでは、Kubernetes External Secrets Operatorを介したKeeperシークレットマネージャーとKubernetesの連携手順を取り扱いました。手順に従うことで、Keeperボルトに保存したシークレットをKubernetes環境へ同期できます。シークレットの安全な管理に加え、全ポッドからのリアルタイムアクセスも可能になります。

External Secretsオペレータのセットアップ、Kubernetesシークレット・SecretStore・ExternalSecretの作成など、本連携の要点となる手順を取り扱いました。設定が完了すれば、記載のコマンドで連携を確認し、格納したシークレットを取得できます。

KeeperシークレットマネージャーとKubernetesの統合により、Kubernetes上で動作するアプリケーションのセキュリティ基盤が強化されます。シークレット管理の基盤となり、運用効率とセキュリティ体制の向上に役立ちます。

コマンド例のプレースホルダは、ご利用環境の情報に置き換えてください。KubernetesでExternal Secretsを設定・管理する際は、必要に応じて本ページをご参照ください。

前へ例次へKubernetes

最終更新 13 日前