Menu Close

第6章 サービスアカウントパスワードのローテーション

定期的にサービスアカウントパスワードをローテーションして、セキュリティーに関する操作を向上できます。

6.1. オーバークラウドのパスワード管理の概要

オーバークラウド上で実行する OpenStack サービスは、Identity サービス (keystone) の認証情報により認証されます。これらのパスワードは、初期のデプロイメントプロセス時に生成され、heat パラメーターとして定義されます。例:

            'MistralPassword',
            'BarbicanPassword',
            'AdminPassword',
            'CeilometerMeteringSecret',
            'ZaqarPassword',
            'NovaPassword',
            'MysqlRootPassword'

Workflow サービス (mistral) ワークフローを使用して、サービスアカウントが使用するパスワードをローテーションできます。ただし、Key Encrypting Keys(KEK)キーおよび Fernet キーなど、DO_NOT_ROTATE に記載のパスワードがローテーションされません。

DO_NOT_ROTATE_LIST = (
    'BarbicanSimpleCryptoKek',
    'SnmpdReadonlyUserPassword',
    'KeystoneCredential0',
    'KeystoneCredential1',
    'KeystoneFernetKey0',
    'KeystoneFernetKey1',
    'KeystoneFernetKeys',
)

これらのパスワードは、以下の理由により DO_NOT_ROTATE 一覧にあります。

  • DO_NOT_ROTATE: このパスワードを変更するには、すべてのシークレットを再暗号化する必要があります。
  • KeystoneFernetKey および KeystoneCredential: これらのワークフローをローテーションするためにすでに別のワークフローが存在します。詳細は、「ワークフローサービスを使用した Fernet 鍵のローテーション」を参照してください。