KSM用Terraform Provider

Terraformのビルドでボルトのシークレットを操作するためのKeeperシークレットマネージャーTerraform Provider

機能

Keeper Terraformプラグインは、Keeperシークレットマネージャーを利用してKeeperボルトに保存されたシークレット認証情報にアクセスします。このプラグインを使うことで、Keeperのゼロ知識インフラを活用し、Terraformのビルド環境にシークレットを安全に直接挿入できます。

Terraformのビルドで使用するシークレットをKeeperボルトから取得します
Terraformのビルドスクリプトにクレデンシャルを直接注入します
新しいシークレットを作成してボルトに保存します
Keeperボルトからファイルを取得します

Keeperシークレットマネージャー機能の一覧については、概要をご参照ください。

要件

この連携を利用するための要件は以下のとおりです。

Keeperシークレットマネージャーへのアクセス (詳細は、クイックスタートガイドをご参照ください)
- Keeperアカウントのシークレットマネージャーアドオンの有効化
- シークレットマネージャー強制ポリシーが有効化されたロールを割り当てられたメンバーシップ
シークレットを共有するKeeperシークレットマネージャーアプリケーション
- アプリケーションの作成手順については、クイックスタートガイドをご参照ください
初期化済みのKeeperシークレットマネージャー構成
- Terraform連携では、JSON形式とBase64形式の設定を使用できます
Terraform 1.0.0以上 (ephemeral リソースには1.10.0以上が必要)

インストール

レジストリのインストール

Keeperシークレットマネージャープロバイダのページはこちらです。

このプロバイダをインストールするには、Terraformの設定に以下のコードを追加して、terraform init を実行します。

terraform {
  required_providers {
    secretsmanager = {
      source = "keeper-security/secretsmanager"
      version = ">= 1.3.0"
    }
  }
}

provider "secretsmanager" {
  # Configuration options
}

こちらのGitHubリポジトリでソースコードを確認できます。

手動インストール

GitHubリリースページからご利用のプラットフォーム用の最新バージョンのTerraformプロバイダをダウンロードし、そのアーカイブを対応するTerraformプラグインフォルダにコピーします (パスに不足しているフォルダがあれば作成します)。完全なプロバイダURLでソースを初期化します ("github.com/keeper-security/secretsmanager")。

お使いのOSおよびCPUアーキテクチャ (amd64 または arm64) に対応するアーカイブを使用してください。以下のMac OSおよびLinuxのコマンドは、アーキテクチャを自動的に検出します。Windowsのコマンドは amd64 向けです。

SETLOCAL EnableExtensions
SET "PLUGIN_DIR=%APPDATA%\.terraform.d\plugins\github.com\keeper-security\secretsmanager\1.3.0\windows_amd64"
mkdir "%PLUGIN_DIR%" 2>NUL & ^
curl -fsSL https://github.com/keeper-security/terraform-provider-secretsmanager/releases/download/v1.3.0/terraform-provider-secretsmanager_1.3.0_windows_amd64.zip -o "%TEMP%\ksm-tf-provider.zip" && ^
tar -xf "%TEMP%\ksm-tf-provider.zip" -C "%PLUGIN_DIR%" terraform-provider-secretsmanager_v1.3.0.exe && ^
del "%TEMP%\ksm-tf-provider.zip"

ARCH="$(uname -m)"
case "$ARCH" in
  x86_64) ARCH="amd64" ;;
  arm64)  ARCH="arm64" ;;
  *) echo "Unsupported architecture: $ARCH" && exit 1 ;;
esac

PLUGIN_DIR="${HOME}/.terraform.d/plugins/github.com/keeper-security/secretsmanager/1.3.0/darwin_${ARCH}"
mkdir -p "${PLUGIN_DIR}" && \
curl -fsSL "https://github.com/keeper-security/terraform-provider-secretsmanager/releases/download/v1.3.0/terraform-provider-secretsmanager_1.3.0_darwin_${ARCH}.zip" \
  -o /tmp/ksm-tf-provider.zip && \
unzip -o /tmp/ksm-tf-provider.zip "terraform-provider-secretsmanager_v1.3.0" -d "${PLUGIN_DIR}" && \
chmod +x "${PLUGIN_DIR}/terraform-provider-secretsmanager_v1.3.0" && \
rm /tmp/ksm-tf-provider.zip

ARCH="$(uname -m)"
case "$ARCH" in
  x86_64) ARCH="amd64" ;;
  aarch64|arm64) ARCH="arm64" ;;
  *) echo "Unsupported architecture: $ARCH" && exit 1 ;;
esac

PLUGIN_DIR="${HOME}/.terraform.d/plugins/github.com/keeper-security/secretsmanager/1.3.0/linux_${ARCH}"
mkdir -p "${PLUGIN_DIR}" && \
curl -fsSL "https://github.com/keeper-security/terraform-provider-secretsmanager/releases/download/v1.3.0/terraform-provider-secretsmanager_1.3.0_linux_${ARCH}.zip" \
  -o /tmp/ksm-tf-provider.zip && \
unzip -o /tmp/ksm-tf-provider.zip "terraform-provider-secretsmanager_v1.3.0" -d "${PLUGIN_DIR}" && \
chmod +x "${PLUGIN_DIR}/terraform-provider-secretsmanager_v1.3.0" && \
rm /tmp/ksm-tf-provider.zip

Alpine Linuxおよびmuslベースのシステム

Linux向けバイナリ (amd64、arm64、arm) はすべて静的リンクされており、Cライブラリへの依存はありません。Alpine、muslベースのDockerイメージ、その他glibc以外の環境でも、そのまま利用できます。

Terraformプロバイダを手動でインストールする方法については、Terraformの公式ドキュメントをご参照ください。

使用方法

プロバイダを設定

Keeperシークレットマネージャープロバイダを使用して、Keeperシークレットマネージャーで利用できるリソースと連携します。プロバイダを使用できるようにするには、Keeperのクレデンシャルを使用してプロバイダを設定する必要があります。

terraform {
  required_providers {
    secretsmanager = {
      source  = "keeper-security/secretsmanager"
      version = ">= 1.3.0"
    }
  }
}

provider "secretsmanager" {
  # 設定内容を文字列で指定するか、ファイルから読み込みます
  # credential = "<CONFIG FILE CONTENTS BASE64>"
  credential = file("/path/to/config.json")
}

CI/CD環境では、credential 属性を省略し、代わりに環境変数 KEEPER_CREDENTIAL を設定できます。

export KEEPER_CREDENTIAL=$(cat ~/.keeper/credential)

構成ファイルの内容

appKey - (必須) アプリケーションキー。
clientId - (必須) クライアントID。
privateKey - (必須) 秘密鍵。
hostname - (オプション) デフォルトでは、プラグインは keepersecurity.com に接続します

シークレットマネージャーの構成の作成について、詳しくは構成のページをご参照ください。

データソースを使用してシークレットを取得

Keeperの標準レコードタイプごとにデータソースが用意されているため、シークレットのクレデンシャルを簡単に取得できます。

データソースには、以下の形式を使用してアクセスします。

data "<data_source_name>" "<record_type_reference>" {
    path = "<record_uid>"
}

たとえば、ログインタイプのレコードを使用する場合は、以下のようになります。

data "secretsmanager_login" "my_login_record" {
    path = "<RECORD_UID>"
}

ユーザーが定義したレコードタイプの追加のカスタムフィールドまたは標準フィールドにアクセスするには、secretsmanager_field データソースを使用します。

サポートされているレコードタイプの一覧

レコードタイプ

データソース名

住所

"secretsmanager_address"

銀行口座

"secretsmanager_bank_account"

銀行カード

"secretsmanager_bank_card"

出生証明書

"secretsmanager_birth_certificate"

連絡先

"secretsmanager_contact"

データベースクレデンシャル

"secretsmanager_database_credentials"

運転免許

"secretsmanager_driver_license"

暗号化されたメモ

"secretsmanager_encrypted_notes"

フィールド

"secretsmanager_field"

ファイル

"secretsmanager_file"

フォルダ

"secretsmanager_folder"

フォルダ一覧

"secretsmanager_folders"

健康保険

"secretsmanager_health_insurance"

ログイン

"secretsmanager_login"

メンバーシップ

"secretsmanager_membership"

パスポート

"secretsmanager_passport"

PAMデータベース

"secretsmanager_pam_database"

PAMディレクトリ

"secretsmanager_pam_directory"

PAMマシン

"secretsmanager_pam_machine"

PAMユーザー

"secretsmanager_pam_user"

PAMリモートブラウザ

"secretsmanager_pam_remote_browser"

画像

"secretsmanager_photo"

レコード

"secretsmanager_record"

レコード (大量のリクエスト向け)

"secretsmanager_records"

サーバーのクレデンシャル

"secretsmanager_server_credentials"

ソフトウェアライセンス

"secretsmanager_software_license"

SSH鍵

"secretsmanager_ssh_keys"

SSNカード

"secretsmanager_ssn_card"

各データソースで使用可能なフィールドについては、レコードタイプのデータソースリファレンスをご参照ください。

レコードタイプの詳細は、レコードタイプおよびコマンダーの使用法をご参照ください。

レコードフィールドにアクセス

レコードのフィールドに保存されたシークレットのクレデンシャルにアクセスするには、データソースの一部としてフィールドにアクセスします。

タイプ指定されたレコードのデータソースのフィールドにアクセス

以下の形式を使用して、タイプ指定されたデータリソースのフィールドにアクセスします。

${ data.<data_source_name>.<record_type_reference>.<field> }

以下は、ログインタイプのデータソースのパスワードへのアクセスとなります。

${ data.secretsmanager_login.my_login_secret.password }

フィールドデータソースを使用し、Keeper表記法でレコード内の任意のフィールドを照会

"secretsmanager_field"データソースタイプを使用してデータソースを作成し、pathプロパティでフィールドクエリを指定します。

data "secretsmanager_field" "my_field" {
  path = "<record UID>/field/login"
}

フィールドクエリでは、"<UID>/field/<field type>" という形式が使用されます。

レコードUIDが不明な場合は、UIDの代わりにワイルドカード * を使用し、任意の title 属性を指定してタイトルで検索できます。

data "secretsmanager_field" "db_password" {
  path  = "*/field/password"
  title = "Production Database"
}

タイトルに一致するアクセス可能なレコードが複数ある場合は、エラーが返されます。

カスタムフィールド

標準およびPAMのリソースタイプではカスタムフィールドが利用でき、43種類以上のフィールドタイプに対応しています。対応するレコードタイプの一覧については、カスタムフィールドのリファレンスをご参照ください。

単純なタイプ (文字列値)

テキスト、メール、URLなどの単純なタイプでは、プレーンな文字列を指定します。

resource "secretsmanager_login" "my_login" {
  folder_uid = "<FOLDER_UID>"
  title      = "App Login"
  
  login {
    value = "myuser"
  }

  # カスタムのテキストフィールド
  custom {
    type  = "text"
    label = "Environment"
    value = "production"
  }

  # カスタムのメールフィールド
  custom {
    type  = "email"
    label = "Admin Email"
    value = "admin@example.com"
  }
}

複合タイプ (JSON値)

name、address、paymentCard などの複合タイプでは、jsonencode() を使用します。

resource "secretsmanager_login" "my_login" {
  folder_uid = "<FOLDER_UID>"
  title      = "App Login"
  
  # 単一エントリの複合フィールド
  custom {
    type  = "name"
    label = "Admin Name"
    value = jsonencode({
      first  = "John"
      middle = "Q"
      last   = "Public"
    })
  }

  # 複数エントリの複合フィールド
  custom {
    type  = "phone"
    label = "Contact Numbers"
    value = jsonencode([
      {
        number = "555-0100"
        type   = "Mobile"
      },
      {
        number = "555-0101"
        type   = "Home"
      }
    ])
  }
}

フィールドの設定

各カスタムフィールドでは、required および privacy_screen 属性を指定できます。

custom {
  type           = "text"
  label          = "API Key"
  value          = "secret-key-value"
  required       = true       # Keeperボルトで必須としてマーク
  privacy_screen = true       # KeeperボルトのUIから非表示
}

フィールドタイプの詳細仕様は、対象レコードタイプのカスタムフィールドのリファレンスをご参照ください。

カスタムフィールドの読み取り

カスタムフィールドは、すべてのデータソースおよびエフェメラルリソースで読み取り専用属性として参照できます。custom ブロックはリストです。位置でインデックスするか、for で反復処理します。

data "secretsmanager_login" "my_login" {
  path = "<UID>"
}

output "environment_tag" {
  value = data.secretsmanager_login.my_login.custom[0].value
  sensitive = true
}

output "all_custom_labels" {
  value = [for f in data.secretsmanager_login.my_login.custom : f.label]
}

各要素には type、label、value (文字列) が含まれます。複合タイプ (name、address、paymentCard) では、value はJSONエンコードされたオブジェクトです。個々のサブフィールドを扱うには jsondecode() を使用します。

リソースを使用したレコードの作成

Keeperでは、上記の主要なKeeperレコードタイプ用のTerraformリソースがご利用になれます。これらのリソースを利用し、KeeperシークレットマネージャーのTerraformプラグインを使用してKeeperのレコードを作成できます。

レコードを作成するには、使用したいレコードタイプに対応するリソースを使用します。

各レコードのリソースには、少なくとも folder_uid と title、および各レコードフィールドの値が必要となります。

ログインリソースの例

resource "secretsmanager_login" "login" {
    folder_uid = "4PbDLf8UF4od87wJt-fdyQ"
    title = "My Login Record"
    # 追加フィールド...
}

エフェメラルリソースの使用 (Terraform 1.10以上)

Terraform 1.10以降では、25種類すべてのレコードタイプでエフェメラルリソースが利用できます。データソースや通常のリソースと異なり、エフェメラルデータは terraform.tfstate に書き込まれないため、機密性の高いクレデンシャルがディスク上に残りません。

主な利点

ローカルおよびリモートのstateファイルにシークレットを保存しない
Terraform 実行中のみ一時的に利用可能
すべてのレコードタイプ (login、bank_account、ssh_keys、pam_machine など) に対応
既存のデータソースやリソースと併用可能

構文: data の代わりに ephemeral を使用します。

# データソース: シークレットを tfstate に保存
data "secretsmanager_login" "prod_db" {
  path = "<record_uid>"
}

# エフェメラル: シークレットを state に保存しない
ephemeral "secretsmanager_login" "prod_db" {
  path = "<record_uid>"
}

例: エフェメラルで SSH 鍵にアクセス

ephemeral "secretsmanager_ssh_keys" "deploy_key" {
  path = "<record_uid>"
}

resource "null_resource" "deploy" {
  provisioner "remote-exec" {
    connection {
      type        = "ssh"
      host        = "example.com"
      private_key = ephemeral.secretsmanager_ssh_keys.deploy_key.key_pair[0].private_key
    }
    inline = ["echo connected"]
  }
}

利用可能なレコードタイプの一覧は、レジストリの ephemeral "secretsmanager_*" リソースをご参照ください。

エフェメラルリソースのカスタムフィールド

レコードタイプごとのエフェメラルリソースでは、データソースと同様に読み取り専用の custom ブロックが利用できます。カスタムフィールドの値は state に保存されません。

ephemeral "secretsmanager_login" "my_creds" {
  path = "<UID>"
}

output "env_label" {
  value     = ephemeral.secretsmanager_login.my_creds.custom[0].label
  ephemeral = true
}

フォルダUID

レコードを作成するには、Keeperシークレットマネージャーが新しいレコードを作成する場所を認識できるように、フォルダのUIDが必要となります。

フォルダUIDは、KeeperボルトまたはKeeperコマンダーを使用して確認できます。

対象のフォルダ (またはその親の共有フォルダ) は、Keeperシークレットマネージャーアプリケーションから編集権限でアクセスできる必要があります。

タイトル

レコードタイトル。

レコードフィールド

レコードの各フィールドの値と設定は、リソースで設定できます。レコードタイプごとの利用可能なフィールドについては、リソース定義をご参照ください。

各フィールドは、リソース内ではオブジェクトとして表記されます。

ログインフィールドの例

resource "secretsmanager_login" "login" {
    folder_uid = "<FOLDER_UID>"
    title = "My Login Record"

    login {
        value = "MyUsername"
        label = "Username"
        required = true
    }
}

フィールド値を設定

各フィールドの値を設定するには、value フィールドを使用してください。フィールドの形式については、login フィールドタイプは文字列を受け取りますが、name フィールドは「first」「middle」「last」フィールドを持つオブジェクトを受け取るなど、異なる場合があります。

各フィールドの値の形式については、リソースのドキュメントをご参照ください。

フィールドの設定を指定

各フィールドは、様々な設定で構成できます。

フィールド

有効な値

説明

label

string

フィールドラベル

required

boolean

Trueの場合、このフィールドはKeeperボルトで必須と見なされます

privacy_screen

boolean

Trueの場合、このフィールドはKeeperボルトで非表示になります

パスワードフィールド

パスワードフィールドにはいくつかの特別な機能があります。

パスワード生成

Terraformプラグインを使用して作成されたレコードには、パスワードが自動的に生成されます。プラグインでパスワードを生成するには、パスワードに value フィールドを指定せず、代わりにgenerate = "true" を使用します

パスワード生成は、complexityフィールドを使用して、指定した長さのパスワードを生成するように設定できます。

password {
    generate = "true"
    complexity {
        length = 16
    }
}

また、パスワードフィールドには、enforce_generation という設定があります。これがtrueの場合、パスワードの生成のみを可能にし、ユーザーによるパスワード設定はできないようにKeeperボルトに強制適用します。

Terraformにパスワードを再生成させるには、generateフィールドの相違を認識させる必要があります。相違を認識できるように、generateフィールドは「true」と「yes」の両方の値を受け入れます。一方から他方への変更が再生成のトリガーになります。

SSHキーの生成

secretsmanager_ssh_keys リソースでは、SSHキーペアを自動的に生成できます。生成を実行するには、キーペアの値を省略し、key_pair フィールドで generate = "true" を設定します。

resource "secretsmanager_ssh_keys" "example" {
  folder_uid = "<FOLDER_UID>"
  title      = "My SSH Key"

  key_pair {
    generate = "true"
    key_type = "ssh-ed25519"    # デフォルト。他に ssh-rsa、ecdsa-sha2-nistp256/384/521 にも対応
    # key_bits = 4096           # ssh-rsa のみで使用。有効な値は 2048、3072、4096
  }

  # 任意: 秘密鍵を暗号化するためのパスフレーズを生成して保存
  passphrase {
    generate = "true"
    complexity {
      length = 32
    }
  }
}

PAMマシンおよびPAMユーザーリソースでも、private_pem_key フィールドを使用して、同様の generate / key_type / key_bits のパターンで秘密PEMキーを生成できます。

パスワードと同様に、SSHキーの生成では true または yes を有効な値として使用できます。これらの値を切り替えると、Terraformが差分を検出し、次回のapply時にキーペアが再生成されます。

resource "secretsmanager_pam_user" "pam_user_with_generated_key" {
  folder_uid = "<FOLDER_UID>"
  title      = "PAM User With Generated Key"

  login {
    value = "svc-deploy"
  }

  private_key_passphrase {
    generate = "yes"
    complexity {
      length = 32
    }
  }

  private_pem_key {
    generate = "yes"
    key_type = "ssh-rsa"
    key_bits = 4096
  }
}

例

認証情報の読み取り

この例では、Keeperシークレットマネージャーをプロビジョニングして、ログインタイプのデータソースを読み取り、データソースの各フィールドにアクセスします。

terraform {
  required_providers {
    secretsmanager = {
      source  = "keeper-security/secretsmanager"
      version = ">= 1.3.0"
    }
    local = {
      source  = "hashicorp/local"
      version = "2.1.0"
    }
  }
}

provider "local" {}
provider "secretsmanager" {
  # オプション1: base64でエンコードされた認証情報を含むファイルを使用
  credential = file("~/.keeper/credential")

  # オプション2: 環境変数を使用 (CI/CDに推奨)
  # credentialを空にすると、環境変数KEEPER_CREDENTIALから読み取られます
}

data "secretsmanager_login" "db_server" {
  path = "<record UID>"
}

resource "local_file" "out" {
  filename        = "${path.module}/out.txt"
  file_permission = "0644"
  content         = <<EOT
UID:    ${data.secretsmanager_login.db_server.path}
Type:   ${data.secretsmanager_login.db_server.type}
Title:  ${data.secretsmanager_login.db_server.title}
Notes:  ${data.secretsmanager_login.db_server.notes}
======
Login:    ${data.secretsmanager_login.db_server.login}
Password: ${data.secretsmanager_login.db_server.password}
URL:      ${data.secretsmanager_login.db_server.url}
TOTP:
-----
%{for t in data.secretsmanager_login.db_server.totp~}
URL:    ${t.url}
Token:  ${t.token}
TTL:    ${t.ttl}
%{endfor~}
FileRefs:
---------
%{for fr in data.secretsmanager_login.db_server.file_ref~}
UID:      ${fr.uid}
Title:    ${fr.title}
Name:     ${fr.name}
Type:     ${fr.type}
Size:     ${fr.size}
Last Modified:  ${fr.last_modified}
Content/Base64: ${fr.content_base64}
%{endfor~}
EOT
}

output "db_secret_login" {
  value = data.secretsmanager_login.db_server.login
}

Keeperのレコードを作成

terraform {
  required_version = ">= 1.0.0"
  required_providers {
    secretsmanager = {
      source  = "keeper-security/secretsmanager"
      version = ">= 1.3.0"
    }
    local = {
      source  = "hashicorp/local"
      version = "2.1.0"
    }
  }
}

provider "local" {}
provider "secretsmanager" {
  # オプション1: base64でエンコードされた認証情報を含むファイルを使用
  credential = file("~/.keeper/credential")

  # オプション2: 環境変数を使用 ( CI/CDに推奨 )
  # credentialを空にすると、環境変数KEEPER_CREDENTIALから読み取られます
}

resource "secretsmanager_membership" "membership" {
  folder_uid = "<FOLDER UID>"
  title      = "test_membership_resource"
  notes      = "test_membership_resource"

  account_number {
    label          = "MyAccountNumber"
    required       = true
    privacy_screen = true
    value          = "AccountNumber#1234"
  }

  name {
    label          = "Jane"
    required       = true
    privacy_screen = true
    value {
      first  = "Jane"
      middle = "D"
      last   = "Doe"
    }
  }

  password {
    label              = "MyPass"
    required           = true
    privacy_screen     = true
    enforce_generation = true
    generate           = "true"
    complexity {
      length = 16
    }
    # value = "to_be_generated"  # generate=trueのためコメントアウト
  }
}

resource "local_file" "out" {
  filename        = "${path.module}/out.txt"
  file_permission = "0644"
  content         = <<EOT
FUID:   ${secretsmanager_membership.membership.folder_uid}
UID:    ${secretsmanager_membership.membership.uid}
Type:   ${secretsmanager_membership.membership.type}
Title:  ${secretsmanager_membership.membership.title}
Notes:  ${secretsmanager_membership.membership.notes}
======

Account Number:
---------------
%{for n in secretsmanager_membership.membership.account_number~}
Type:           ${n.type}
Label:          ${n.label}
Required:       ${n.required}
Privacy Screen: ${n.privacy_screen}
Value:          ${n.value}
%{endfor}

Name:
-----
%{for n in secretsmanager_membership.membership.name~}
Type:           ${n.type}
Label:          ${n.label}
Required:       ${n.required}
Privacy Screen: ${n.privacy_screen}
First Name:     ${n.value.0.first}
Middle Name:    ${n.value.0.middle}
Last Name:      ${n.value.0.last}
%{endfor}

Password:
---------
%{for n in secretsmanager_membership.membership.password~}
Type:               ${n.type}
Label:              ${n.label}
Required:           ${n.required}
Privacy Screen:     ${n.privacy_screen}
Enforce Generation: ${n.enforce_generation}
Generate:           %{if n.generate != null}${n.generate}%{endif}
Complexity:         Length = ${n.complexity.0.length}
Value:              ${n.value}
%{endfor}
EOT
}

output "record_uid" {
  value = secretsmanager_membership.membership.uid
}

output "record_title" {
  value = secretsmanager_membership.membership.title
}

PAMレコードの作成

これらのコード例は、terraform ブロックおよび provider "secretsmanager" ブロックが、上記のとおり設定済みであることを前提としています。

resource "secretsmanager_pam_database" "postgres_prod" {
  folder_uid = "<FOLDER_UID>"
  title      = "Production PostgreSQL"

  pam_hostname {
    value {
      hostname = "postgres.prod.example.com"
      port     = "5432"
    }
  }

  pam_settings = jsonencode([{
    connection = [{
      protocol = "postgresql"
      port     = "5432"
      database = "production"
    }]
  }])

  database_type = "postgresql"

  use_ssl {
    value = true
  }
}

resource "secretsmanager_pam_directory" "corp_ad" {
  folder_uid = "<FOLDER_UID>"
  title      = "Corporate AD"

  pam_hostname {
    value {
      hostname = "ad.corp.example.com"
      port     = "636"
    }
  }

  pam_settings = jsonencode([{
    connection = [{
      protocol = "ldaps"
      port     = "636"
    }]
  }])

  directory_type = "Active Directory"

  distinguished_name {
    value = "DC=corp,DC=example,DC=com"
  }

  use_ssl {
    value = true
  }
}

resource "secretsmanager_pam_remote_browser" "internal_admin" {
  folder_uid = "<FOLDER_UID>"
  title      = "Internal Admin Portal"

  rbi_url {
    value = "https://admin.internal.example.com"
  }

  pam_remote_browser_settings = jsonencode([{
    connection = [{
      protocol = "https"
      port     = "443"
    }]
  }])

  # 任意: カスタムフィールド
  custom {
    type  = "text"
    label = "Environment"
    value = "production"
  }
}

PAMデータソースの出力を読み取る

これらのコード例は、terraform ブロックおよび provider "secretsmanager" ブロックが、上記のとおり設定済みであることを前提としています。

data "secretsmanager_pam_machine" "host" {
  path = "<PAM_MACHINE_UID>"
}

output "pam_machine_folder_uid" {
  value = data.secretsmanager_pam_machine.host.folder_uid
}

output "pam_machine_totp_uri" {
  value = try(data.secretsmanager_pam_machine.host.totp[0].value, null)
}

output "pam_machine_private_key_passphrase" {
  value     = try(data.secretsmanager_pam_machine.host.private_key_passphrase[0].value, null)
  sensitive = true
}

その他の例については、ソースコード内のexamplesフォルダをご参照ください。

TOTP属性の形はレコードタイプによって異なります

ログイン / 銀行口座のデータソース: totp[0].token (現在の6桁コード)、totp[0].ttl (残り秒)、totp[0].url (OTP URI)
PAMマシン / PAMユーザーのデータソース: totp[0].value (生の otpauth:// URI — コード生成には外部のTOTPツールを使用)

最適化

secretsmanager_records データソースを使用すると、複数のKeeperシークレットマネージャーレコードを1回のAPI呼び出しで取得でき、多数のシークレットを扱う場合のAPIリクエストを大幅に削減し、パフォーマンスを向上させます。

UIDで取得 (最も効率的)

data "secretsmanager_records" "infrastructure" {
  uids = ["uid1", "uid2", "uid3"]
}

タイトル完全一致で取得

data "secretsmanager_records" "by_name" {
  titles = ["Production DB", "Staging DB", "API Keys"]
}

正規表現パターンで取得

data "secretsmanager_records" "prod_secrets" {
  title_patterns = ["^prod-.*"]  # "prod-"で始まるレコード
}

titles および title_patterns は、アクセス可能なすべてのボルト内レコードを取得し、クライアント側でフィルタリングを行います。パフォーマンス向上のため、可能な限り uids の使用を推奨します。パターンはGoの正規表現構文を使用し、ReDoSを防ぐため500文字に制限されています。

利用可能なすべての出力属性を含む詳細なドキュメントについては、secretsmanager_records リファレンスをご参照ください。

UIDによる結果へのアクセス

レコードは records をリストとして参照するか、records_by_uid でUIDをキーとしたマップとして参照できます。records_by_uid の各値はJSONエンコードされた文字列です。個々のフィールドにアクセスするには jsondecode() を使用します。

# リストの位置でアクセス
output "first_title" {
  value = data.secretsmanager_records.infrastructure.records[0].title
}

# UIDでアクセス — 値はJSON文字列のため、フィールドを取り出すには jsondecode() を使用
output "specific_record_title" {
  value = jsondecode(data.secretsmanager_records.infrastructure.records_by_uid["uid1"]).title
}

前へTeller 次へコマンダー用Terraform Provider

最終更新 1 か月前