Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
第25章 Vault を使用した認証情報の秘密の保存
vault とは、秘密を保存、取得、共有、および復旧するための安全な場所です。秘密とは、限定されたグループのメンバーまたはエンティティーのみがアクセスを許可される機密データで、以下のものがあります。
- パスワード
- PIN
- プライベート SSH キー
ユーザーとサービスは、Identity Management (IdM) ドメインに登録されているいずれのマシンからも vault に保存されている秘密にアクセスすることができます。
注記
Vault はコマンドラインからのみ利用可能で、IdM web UI からは利用できません。
vault のユースケースには以下のものがあります。
- ユーザーの個人秘密の保存
- 詳細は 「ユーザー個人の秘密の保存」 を参照してください。
- サービスの秘密の保存
- 詳細は 「Vault でのサービスの秘密の保存」 を参照してください。
- 複数ユーザーが使用する共通の秘密の保存
- 詳細は 「複数ユーザー用の共通の秘密の保存」 を参照してください。
vault を使用するには、「Vault 使用における前提条件」 に記載の条件を満たす必要があることに注意してください。
25.1. Vault の仕組み
25.1.1. Vault の所有者、メンバー、および管理者
IdM は以下の vault ユーザータイプを区別します。
- Vault 所有者
- vault 所有者とは、vault の基本的な管理特権があるユーザーもしくはサービスです。たとえば、vault 所有者は vault プロパティーを変更したり、新規の vault メンバーを追加することができます。各 vault には最低 1 人の所有者が必要ですが、複数の所有者がいても構いません。
- Vault メンバー
- vault メンバーとは、別のユーザーやサービスが作成した vault にアクセスできるユーザーまたはサービスです。
- Vault 管理者
- Vault 管理者にはすべての vault に対する無制限のアクセスがあり、vault の全操作が許可されます。
注記
対称および非対称 vault はパスワードかキーで保護されており、特別なアクセス制御ルールを適用します (「標準、対称、および非対称 Vault」 を参照)。管理者は以下を実行するためにこれらのルールに合致する必要があります。- 対称および非対称 vault にある秘密へのアクセス
- vault パスワードまたはキーの変更もしくはリセット
vault 管理者とは、Vault Administrators
権限のあるユーザーのことです。ユーザー特権の定義に関する情報は、「ロールベースのアクセス制御の定義」 を参照してください。
特定の所有者およびメンバー特権は、vault のタイプに依存します。詳細は 「標準、対称、および非対称 Vault」 を参照してください。
Vault ユーザー
ipa vault-show
などのコマンド出力では、ユーザー vaults の Vault user
も表示されます。
$ ipa vault-show my_vault
Vault name: my_vault
Type: standard
Owner users: user
Vault user: user
vault ユーザーは、vault が格納されているコンテナーを所有しているユーザーを表します。vault コンテナーとユーザー vaults についての詳細は、「さまざまなタイプの Vault コンテナー」 と 「ユーザー、サービス、共有 Vault」 を参照してください。
25.1.2. 標準、対称、および非対称 Vault
vault はセキュリティーレベルとアクセス制御を基に、以下のタイプに分けられます。
- 標準 vault
- Vault 所有者と vault メンバーは、パスワードやキーなしで秘密をアーカイブおよび取得することができます。
- 対称 vault
- この vault の秘密は、対称キーで保護されます。Vault メンバーと vault 所有者は秘密のアーカイブと取得ができますが、vault パスワードを使用する必要があります。
- 非対称 vault
- この vault の秘密は、非対称キーで保護されます。ユーザーは公開鍵を使って秘密をアーカイブし、プライベートキーを使って秘密を取得します。vault メンバーは秘密のアーカイブしかできませんが、vault 所有者はアーカイブと取得の両方ができます。
25.1.4. さまざまなタイプの Vault コンテナー
vault コンテナーとは、複数の vault の集合です。
IdM にはデフォルトで以下の vault コンテナーがあります。
- ユーザーコンテナー: ユーザーのプライベートコンテナー
- このコンテナーには、特定ユーザーのユーザー vault が保存されます。
- サービスコンテナー: サービスのプライベートコンテナー
- このコンテナーには、特定サービスのサービス vault が保存されます。
- 共有コンテナー
- このコンテナーには、複数のユーザーやサービスが共有可能な vault が保存されます。
IdM は、ユーザーまたはサービスの最初のプライベート vault が作成される際に、自動的にユーザーまたはサービス向けのユーザー/サービスコンテナーを作成します。ユーザーまたはサービスが削除されると、IdM はそのコンテナーとコンテンツを削除します。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。