Show Table of Contents
第25章 Vault を使用した認証情報の秘密の保存
vault とは、秘密を保存、取得、共有、および復旧するための安全な場所です。秘密とは、限定されたグループのメンバーまたはエンティティーのみがアクセスを許可される機密データで、以下のものがあります。
- パスワード
- PIN
- プライベート SSH キー
ユーザーとサービスは、Identity Management (IdM) ドメインに登録されているいずれのマシンからも vault に保存されている秘密にアクセスすることができます。
注記
Vault はコマンドラインからのみ利用可能で、IdM web UI からは利用できません。
vault のユースケースには以下のものがあります。
- ユーザーの個人秘密の保存
- 詳細は 「ユーザー個人の秘密の保存」 を参照してください。
- サービスの秘密の保存
- 詳細は 「Vault でのサービスの秘密の保存」 を参照してください。
- 複数ユーザーが使用する共通の秘密の保存
- 詳細は 「複数ユーザー用の共通の秘密の保存」 を参照してください。
vault を使用するには、「Vault 使用における前提条件」 に記載の条件を満たす必要があることに注意してください。
25.1. Vault の仕組み
25.1.1. Vault の所有者、メンバー、および管理者
IdM は以下の vault ユーザータイプを区別します。
- Vault 所有者
- vault 所有者とは、vault の基本的な管理特権があるユーザーもしくはサービスです。たとえば、vault 所有者は vault プロパティーを変更したり、新規の vault メンバーを追加することができます。各 vault には最低 1 人の所有者が必要ですが、複数の所有者がいても構いません。
- Vault メンバー
- vault メンバーとは、別のユーザーやサービスが作成した vault にアクセスできるユーザーまたはサービスです。
- Vault 管理者
- Vault 管理者にはすべての vault に対する無制限のアクセスがあり、vault の全操作が許可されます。
注記
対称および非対称 vault はパスワードかキーで保護されており、特別なアクセス制御ルールを適用します (「標準、対称、および非対称 Vault」 を参照)。管理者は以下を実行するためにこれらのルールに合致する必要があります。- 対称および非対称 vault にある秘密へのアクセス
- vault パスワードまたはキーの変更もしくはリセット
vault 管理者とは、Vault Administrators権限のあるユーザーのことです。ユーザー特権の定義に関する情報は、「ロールベースのアクセス制御の定義」 を参照してください。
特定の所有者およびメンバー特権は、vault のタイプに依存します。詳細は 「標準、対称、および非対称 Vault」 を参照してください。
Vault ユーザー
ipa vault-show などのコマンド出力では、ユーザー vaults の Vault user も表示されます。
$ ipa vault-show my_vault
Vault name: my_vault
Type: standard
Owner users: user
Vault user: user
vault ユーザーは、vault が格納されているコンテナーを所有しているユーザーを表します。vault コンテナーとユーザー vaults についての詳細は、「Vault コンテナー」 と 「ユーザー、サービス、共有 Vault」 を参照してください。
25.1.2. 標準、対称、および非対称 Vault
vault はセキュリティーレベルとアクセス制御を基に、以下のタイプに分けられます。
- 標準 vault
- Vault 所有者と vault メンバーは、パスワードやキーなしで秘密をアーカイブおよび取得することができます。
- 対称 vault
- この vault の秘密は、対称キーで保護されます。Vault メンバーと vault 所有者は秘密のアーカイブと取得ができますが、vault パスワードを使用する必要があります。
- 非対称 vault
- この vault の秘密は、非対称キーで保護されます。ユーザーは公開鍵を使って秘密をアーカイブし、プライベートキーを使って秘密を取得します。vault メンバーは秘密のアーカイブしかできませんが、vault 所有者はアーカイブと取得の両方ができます。
25.1.4. Vault コンテナー
vault コンテナーとは、複数の vault の集合です。
IdM にはデフォルトで以下の vault コンテナーがあります。
- ユーザーコンテナー: ユーザーのプライベートコンテナー
- このコンテナーには、特定ユーザーのユーザー vault が保存されます。
- サービスコンテナー: サービスのプライベートコンテナー
- このコンテナーには、特定サービスのサービス vault が保存されます。
- 共有コンテナー
- このコンテナーには、複数のユーザーやサービスが共有可能な vault が保存されます。
IdM は、ユーザーまたはサービスの最初のプライベート vault が作成される際に、自動的にユーザーまたはサービス向けのユーザー/サービスコンテナーを作成します。ユーザーまたはサービスが削除されると、IdM はそのコンテナーとコンテンツを削除します。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.