Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第25章 Vault での認証シークレットの保存

vault は、シークレットの格納、取得、共有、および復旧を行う安全な場所です。シークレットは、一部のユーザーまたはエンティティーグループのみからアクセスできる必要があるセキュリティーの影響を受けるデータです。たとえば、シークレットには以下が含まれます。
  • パスワード
  • PIN
  • SSH 秘密鍵
ユーザーおよびサービスは、Identity Management(IdM)ドメインに登録されているマシンから vault に保存されているシークレットにアクセスできます。
注記
vault は、IdM Web UI ではなくコマンドラインからのみ利用できます。
vault のユースケースには以下のものがあります。
ユーザーの個人シークレットの保存
詳しくは 「ユーザーのパーソナルアクセストークンの保存」、を参照してください。
サービスのシークレットの保存
詳しくは 「Vault でのサービスシークレットの保存」、を参照してください。
複数のユーザーによって使用される共通シークレットの保存
詳しくは 「複数ユーザーの共通シークレットの保存」、を参照してください。
vault 「vault 使用の前提条件」

25.1. vault の仕組み

25.1.1. Vault の所有者、メンバー、および管理者

IdM は以下の vault ユーザータイプを区別します。
vault 所有者
vault 所有者は、vault の基本的な管理権限のあるユーザーまたはサービスです。たとえば、vault の所有者は vault のプロパティーを変更したり、新しい vault メンバーを追加したりできます。
各 vault には最低でも所有者が 1 人必要です。vault には複数の所有者を指定することもできます。
Vault メンバー
vault メンバーとは、別のユーザーやサービスが作成した vault にアクセスできるユーザーまたはサービスです。
Vault 管理者
vault 管理者はすべての vault に制限なくアクセスでき、vault の操作をすべて実行できます。
注記
対称と非対称 vault は、パスワードまたは鍵で保護され、特別なアクセス制御ルールが適用されます( 「標準、対称および非対称 vault」)。管理者は、以下を行うためにこれらのルールを満たす必要があります。
  • 対称および非対称 vault のシークレットへのアクセス
  • vault パスワードまたはキーを変更またはリセットする
vault 管理者は、vault administrators 特権を持つ ユーザーです。「ロールベースのアクセス制御の定義」、を参照してください。
特定の所有者およびメンバーの特権は、vault のタイプによって異なります。詳しくは 「標準、対称および非対称 vault」、を参照してください。

Vault ユーザー

ipa vault-show コマンドなど、一部のコマンドの出力には、ユーザー vaultVault ユーザーも表示されます
$ ipa vault-show my_vault
  Vault name: my_vault
  Type: standard
  Owner users: user
  Vault user: user
vault ユーザーは、vault のあるコンテナー内のユーザーです。vault コンテナーおよびユーザー vault 「さまざまなタイプの Vault コンテナー」 および 「ユーザー、サービス、および共有 vault」

25.1.2. 標準、対称および非対称 vault

vault はセキュリティーレベルとアクセス制御を基に、以下のタイプに分けられます。
標準 vault
Vault 所有者と vault メンバーは、パスワードやキーなしで秘密をアーカイブおよび取得することができます。
対称 vault
vault のシークレットは対称キーを使用して保護されます。Vault メンバーおよび vault の所有者はアーカイブしてシークレットを取得できますが、vault パスワードを指定する必要があります。
非対称 vault
vault のシークレットは非対称キーを使用して保護されます。ユーザーは公開鍵を使用してシークレットをアーカイブし、秘密鍵でシークレットを取得します。vault メンバーはシークレットのアーカイブのみが可能ですが、vault 所有者はシークレットのアーカイブと取得の両方が可能です。

25.1.3. ユーザー、サービス、および共有 vault

vault は所有権を基に、以下のタイプに分けられます。
ユーザー vault: ユーザーのプライベート vault
所有者は単一のユーザーです。
ユーザーはだれでも 1 つ以上のユーザー vault を所有することができます。
サービス vault: サービスのプライベート vault
所有者は単一のサービスです。
サービスはどれでも 1 つ以上のサービス vault を所有することができます。
共有 vault
owner: vault を作成した vault 管理者。他の vault 管理者は vault に完全アクセスできます。
共有 vault は、複数のユーザーまたはサービスで使用できます。

25.1.4. さまざまなタイプの Vault コンテナー

vault コンテナーとは、複数の vault の集合です。
IdM にはデフォルトで以下の vault コンテナーがあります。
ユーザーコンテナー: ユーザーのプライベートコンテナー
このコンテナーには、特定ユーザーのユーザー vault が保存されます。
サービスコンテナー: サービスのプライベートコンテナー
このコンテナーには、特定サービスのサービス vault が保存されます。
共有コンテナー
このコンテナーストア: 複数のユーザーまたはサービスで共有可能な vault。
IdM は、ユーザーまたはサービスの最初のプライベート vault が作成されると、ユーザーまたはサービスごとにユーザーコンテナーおよびサービスコンテナーを自動的に作成します。ユーザーまたはサービスが削除されると、IdM はコンテナーとそのコンテンツを削除します。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。