Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第25章 Vault での認証シークレットの保存

Vault は、シークレットの保存、取得、共有、および復旧のセキュアな場所です。シークレットは、限られたユーザーまたはグループまたはエンティティーグループのみがアクセスできるようにするセキュリティーの影響を受けるデータです。たとえば、シークレットには以下が含まれます。
  • パスワード
  • 暗証番号
  • SSH 秘密鍵
ユーザーおよびサービスは、Identity Management(IdM) ドメインに登録されているマシンから vault に保存されているシークレットにアクセスできます。
注記
Vault はコマンドラインからのみ利用でき、IdM Web UI からは利用できません。
Vault のユースケースには以下が含まれます。
ユーザーの個人シークレットの保存
詳細は「ユーザーの個人シークレットの保存」を参照してください。
サービスのシークレットの保存
詳細は「Vault でのサービスシークレットの保存」を参照してください。
複数のユーザーによって使用される共通のシークレットの保存
詳細は「複数ユーザーの共通シークレットの保存」を参照してください。
Vault を使用するには、「Vault を使用するための前提条件」 に記載の条件を満たしている必要があります。

25.1. Vault の仕組み

25.1.1. Vault の所有者、メンバー、および管理者

IdM は、以下の vault ユーザータイプを区別します。
Vault 所有者
vault 所有者は、vault の基本的な管理権限のあるユーザーまたはサービスです。たとえば、vault の所有者は vault のプロパティーを変更したり、新しい vault メンバーを追加したりできます。
各 vault には最低でも所有者が 1 人必要です。vault には複数の所有者を指定することもできます。
Vault メンバー
vault メンバーは、別のユーザーまたはサービスが作成した vault にアクセスできるユーザーまたはサービスです。
Vault 管理者
vault 管理者は全 vault に制限なくアクセスでき、vault の操作をすべて実行できます。
注記
対称と非対称 vault は、パスワードまたは鍵で保護されており、特別なアクセス制御ルールが適用されます (「標準、対称および非対称 vault」 を参照)。管理者は、以下を行うためにこの特別なルールを満たす必要があります。
  • 対称および非対称 vault のシークレットにアクセスする。
  • vault パスワードまたはキーを変更またはリセットする。
vault 管理者は、vault administrators 特権を持つユーザーです。ユーザー権限の定義については、「ロールベースのアクセス制御の定義」 を参照してください。
特定の所有者およびメンバーの特権は、vault のタイプによって異なります。詳細は「標準、対称および非対称 vault」を参照してください。

Vault ユーザー

ipa vault-show コマンドなどの一部のコマンドの出力には、ユーザー vault の Vault user も表示されます。
$ ipa vault-show my_vault
  Vault name: my_vault
  Type: standard
  Owner users: user
  Vault user: user
vault ユーザーは、vault のあるコンテナー内のユーザーです。vault コンテナーおよびユーザー vault の詳細は、「各種 Vault コンテナー」 および 「ユーザー、サービスおよび共有 vault」 を参照してください。

25.1.2. 標準、対称および非対称 vault

以下の vault タイプは、セキュリティーおよびアクセス制御のレベルに基づいています。
標準 vault
Vault の所有者と vault メンバーは、パスワードやキーを使用せずにシークレットをアーカイブして取得できます。
対称 vault
vault のシークレットは対称キーを使用して保護されます。vault のメンバーおよび所有者は、シークレットをアーカイブして取得できますが、vault パスワードを指定する必要があります。
非対称 vault
vault のシークレットは非対称キーを使用して保護されます。ユーザーは公開鍵でシークレットをアーカイブし、秘密鍵でシークレットを取得します。vault メンバーはシークレットのアーカイブのみが可能ですが、vault 所有者はシークレットのアーカイブと取得の両方が可能です。

25.1.3. ユーザー、サービスおよび共有 vault

以下の Vault タイプは所有権に基づいています。
ユーザー vault: ユーザーのプライベート vault
所有者: 単一ユーザー。
どのユーザーも 1 人以上のユーザー vault を所有できます。
サービス vault: サービスのプライベート vault
所有者: 単一サービス
サービスは、1 つまたは複数のサービス vault を所有することができます。
共有 vault
所有者: vault を作成した vault の管理者他の vault 管理者は、vault への完全アクセスもあります。
共有 vault は、複数のユーザーまたはサービスが使用できます。

25.1.4. 各種 Vault コンテナー

vault コンテナーは vault のコレクションです。
IdM は、以下のデフォルトの vault コンテナーを提供します。
ユーザーコンテナー: ユーザーのプライベートコンテナー
このコンテナーは、特定ユーザーのユーザー vault を保存します。
サービスコンテナー: サービスのプライベートコンテナー
このコンテナーは、特定のサービスのサービス vault を格納します。
共有コンテナー
このコンテナーは、複数のユーザーまたはサービスで共有できる vault を格納します。
IdM では、ユーザーまたはサービスのプライベート vault が初めて作成されると、ユーザーまたはサービスごとにユーザーコンテナーおよびサービスコンテナーを自動的に作成します。ユーザーまたはサービスが削除されると、IdM はコンテナーとそのコンテンツを削除します。