第25章 Vault を使用した認証情報の秘密の保存

vault とは、秘密を保存、取得、共有、および復旧するための安全な場所です。秘密とは、限定されたグループのメンバーまたはエンティティーのみがアクセスを許可される機密データで、以下のものがあります。
  • パスワード
  • PIN
  • プライベート SSH キー
ユーザーとサービスは、Identity Management (IdM) ドメインに登録されているいずれのマシンからも vault に保存されている秘密にアクセスすることができます。

注記

Vault はコマンドラインからのみ利用可能で、IdM web UI からは利用できません。
vault のユースケースには以下のものがあります。
ユーザーの個人秘密の保存
詳細は 「ユーザー個人の秘密の保存」 を参照してください。
サービスの秘密の保存
詳細は 「Vault でのサービスの秘密の保存」 を参照してください。
複数ユーザーが使用する共通の秘密の保存
詳細は 「複数ユーザー用の共通の秘密の保存」 を参照してください。
vault を使用するには、「Vault 使用における前提条件」 に記載の条件を満たす必要があることに注意してください。

25.1. Vault の仕組み

25.1.1. Vault の所有者、メンバー、および管理者

IdM は以下の vault ユーザータイプを区別します。
Vault 所有者
vault 所有者とは、vault の基本的な管理特権があるユーザーもしくはサービスです。たとえば、vault 所有者は vault プロパティーを変更したり、新規の vault メンバーを追加することができます。
各 vault には最低 1 人の所有者が必要ですが、複数の所有者がいても構いません。
Vault メンバー
vault メンバーとは、別のユーザーやサービスが作成した vault にアクセスできるユーザーまたはサービスです。
Vault 管理者
Vault 管理者にはすべての vault に対する無制限のアクセスがあり、vault の全操作が許可されます。

注記

対称および非対称 vault はパスワードかキーで保護されており、特別なアクセス制御ルールを適用します (「標準、対称、および非対称 Vault」 を参照)。管理者は以下を実行するためにこれらのルールに合致する必要があります。
  • 対称および非対称 vault にある秘密へのアクセス
  • vault パスワードまたはキーの変更もしくはリセット
vault 管理者とは、Vault Administrators 権限のあるユーザーのことです。ユーザー特権の定義に関する情報は、「ロールベースのアクセス制御の定義」 を参照してください。
特定の所有者およびメンバー特権は、vault のタイプに依存します。詳細は 「標準、対称、および非対称 Vault」 を参照してください。

Vault ユーザー

ipa vault-show などのコマンド出力では、ユーザー vaults の Vault user も表示されます。 
$ ipa vault-show my_vault
  Vault name: my_vault
  Type: standard
  Owner users: user
  Vault user: user
vault ユーザーは、vault が格納されているコンテナーを所有しているユーザーを表します。vault コンテナーとユーザー vaults についての詳細は、「Vault コンテナー」「ユーザー、サービス、共有 Vault」 を参照してください。

25.1.2. 標準、対称、および非対称 Vault

vault はセキュリティーレベルとアクセス制御を基に、以下のタイプに分けられます。
標準 vault
Vault 所有者と vault メンバーは、パスワードやキーなしで秘密をアーカイブおよび取得することができます。
対称 vault
この vault の秘密は、対称キーで保護されます。Vault メンバーと vault 所有者は秘密のアーカイブと取得ができますが、vault パスワードを使用する必要があります。
非対称 vault
この vault の秘密は、非対称キーで保護されます。ユーザーは公開鍵を使って秘密をアーカイブし、プライベートキーを使って秘密を取得します。vault メンバーは秘密のアーカイブしかできませんが、vault 所有者はアーカイブと取得の両方ができます。

25.1.3. ユーザー、サービス、共有 Vault

vault は所有権を基に、以下のタイプに分けられます。
ユーザー vault: ユーザーのプライベート vault
所有者は単一のユーザーです。
ユーザーはだれでも 1 つ以上のユーザー vault を所有することができます。
サービス vault: サービスのプライベート vault
所有者は単一のサービスです。
サービスはどれでも 1 つ以上のサービス vault を所有することができます。
共有 vault
所有者: この vault を作成した vault 管理者。他の vault 管理者もこの vault への完全なアクセスがあります。
共有 vault は複数のユーザーやサービスが使用することが可能です。

25.1.4. Vault コンテナー

vault コンテナーとは、複数の vault の集合です。
IdM にはデフォルトで以下の vault コンテナーがあります。
ユーザーコンテナー: ユーザーのプライベートコンテナー
このコンテナーには、特定ユーザーのユーザー vault が保存されます。
サービスコンテナー: サービスのプライベートコンテナー
このコンテナーには、特定サービスのサービス vault が保存されます。
共有コンテナー
このコンテナーには、複数のユーザーやサービスが共有可能な vault が保存されます。
IdM は、ユーザーまたはサービスの最初のプライベート vault が作成される際に、自動的にユーザーまたはサービス向けのユーザー/サービスコンテナーを作成します。ユーザーまたはサービスが削除されると、IdM はそのコンテナーとコンテンツを削除します。