DevOpsツールとベストプラクティスの習得 - DevOpsナレッジハブ DevOpsツールとベストプラクティスの習得 - DevOpsナレッジハブ

Ansible Vaultを効果的に使った設定シークレットの保護ガイド

Vaultコマンド、暗号化変数ファイル、パスワード管理、実践的なプレイブックの使用法でAnsibleシークレットを安全に保護します。

Ansible Vaultを効果的に使った設定シークレットの保護ガイド

Ansible Vaultは、通常のAnsible変数を使用しながら、設定シークレットを平文から保護するのに役立ちます。プレイブックにデータベースパスワード、APIキー、秘密鍵が含まれている場合、それらを暗号化せずにコミットすると、日常的なリポジトリ漏洩がインフラストラクチャインシデントに発展する可能性があります。

Ansible Vaultは、構造化された変数ファイルや個々の値を暗号化し、AnsibleがVaultパスワードを持っている場合にのみ復号化します。このガイドでは、実際に使用するコマンド、プレイブックでVault変数を読み込む方法、そしてチームがよく間違えるポイントを説明します。

Ansible Vaultの基本概念を理解する

Ansible Vaultは、強力な対称暗号化(AES256)を使用してデータを保護します。コアメカニズムでは、マスターキーとして機能するVaultパスワードが必要です。このパスワードは、暗号化されたコンテンツにアクセスまたは変更する必要があるたびにAnsibleに提供する必要があります。

Ansible Vaultを使用する理由

  • セキュリティ: 機密データを保存時に暗号化し、リポジトリ侵害から保護します。
  • コンプライアンス: 認証情報の暗号化を必要とする業界標準(例:PCI DSS、SOC 2)を満たすのに役立ちます。
  • ワークフロー: シークレットを含む設定ファイルをバージョン管理システム(Gitなど)に安全にコミットできます。

必須のAnsible Vaultコマンド

ansible-vaultコマンドは、プレイブック実行外で暗号化ファイルを管理するためのスタンドアロンユーティリティです。

1. 新しいVaultファイルの作成

シークレット専用の新しいファイルを作成するには、createコマンドを使用します。これにより、すぐに新しいVaultパスワードの入力を求められ、デフォルトのテキストエディタ($EDITOR)でファイルが開きます。

ansible-vault create secrets/db_passwords.yml

ファイル内容の例(db_passwords.yml保存後):

# このファイルは暗号化されています
db_user: app_admin
db_pass: HighlySecurePassword123!
api_key: abc-123-def-456

エディタを保存して閉じると、コンテンツは暗号化され、ファイルはバージョン管理にコミットできる状態になります。

2. 暗号化コンテンツの表示

編集せずにVaultファイルの内容をすばやく確認する必要がある場合は、viewコマンドを使用します。Vaultパスワードの入力を求められます。

ansible-vault view secrets/db_passwords.yml

3. 既存のVaultファイルの編集

editコマンドは、シークレットを変更するための主要な方法です。Ansibleがファイルを復号化し、エディタで開き、保存時に自動的に再暗号化します。

ansible-vault edit secrets/db_passwords.yml

ヒント: スムーズな編集体験のために、$EDITOR環境変数が正しく設定されていることを確認してください(例:export EDITOR=vim)。

4. 既存ファイルの暗号化と復号化

保護する必要がある既存の平文ファイルがある場合は、encryptコマンドを使用します。逆に、decryptは暗号化ファイルを平文に戻すために使用されます(注意して使用し、通常は移行時にのみ使用します)。

# 既存ファイルを暗号化
ansible-vault encrypt plain_vars.yml

# 既存のVaultファイルを復号化(危険!必要な場合のみ使用)
ansible-vault decrypt secured_vars.yml

5. Vaultパスワードの変更(Rekey)

Vaultファイルのマスターパスワードを更新するには、rekeyコマンドを使用します。現在のパスワードを入力し、新しいパスワードを設定する必要があります。

ansible-vault rekey secrets/db_passwords.yml

これは、セキュリティローテーションや新しい認証情報管理システムへの移行時に不可欠です。

VaultシークレットをAnsibleプレイブックに統合する

ファイルが暗号化されたら、プレイブック実行中にそれらを読み込み、必要なVaultパスワードを提供する方法が必要です。

暗号化変数の読み込み

暗号化された変数ファイルは、通常の変数ファイルと同様に、通常はプレイブックのvars_filesディレクティブを使用して読み込まれます。

プレイブック例(site.yml):

---
- name: データベースシークレットを必要とするアプリケーションのデプロイ
  hosts: webservers
  vars_files:
    - secrets/db_passwords.yml  # Ansibleが自動的にVaultファイルを検出

  tasks:
    - name: データベースユーザーの設定を確認
      ansible.builtin.template:
        src: config.j2
        dest: /etc/app/config.conf
        mode: '0600'
      # {{ db_user }} や {{ db_pass }} などの変数が利用可能になります

実行中のVaultパスワードの提供

Ansibleは、履歴やスクリプトにパスワードを露出させずにVaultパスワードを提供するためのいくつかの安全な方法を提供します。

方法1:インタラクティブプロンプト

最も簡単な方法は、--ask-vault-passフラグを使用することです。これにより、実行時にユーザーに安全にパスワードの入力を求めます。

ansible-playbook site.yml --ask-vault-pass

方法2:パスワードファイルの使用

自動化、CI/CDパイプライン、またはインタラクティブプロンプトが望ましくない環境では、平文のパスワードファイル(多くの場合、プライマリリポジトリの外部に保存され、制限されたファイル権限で保護されます)を使用できます。

# 注意:パスワードファイルにはVaultパスワードテキストのみを含める必要があります。
ansible-playbook site.yml --vault-password-file ~/.ansible/vault_key.txt

方法3:単一変数の暗号化(encrypt_string

YAMLファイル全体ではなく、単一の小さな変数(例:inventoryファイル内)のみを暗号化する必要がある場合は、ansible-vault encrypt_stringを使用します。

# 'echo'または'printf'を使用してシークレットを直接渡します
ansible-vault encrypt_string 'MySuperSecretAPIKey' --name 'prod_api_key'

このコマンドは、暗号化された文字列を出力し、それをインベントリまたは変数ファイルに直接貼り付けることができます:

prod_api_key: !vault |
  $ANSIBLE_VAULT;1.1;AES256
  37666236613364656165386638323438646132646337326462613134373463353434613861313361
  ... (残りの暗号化データ)

エンタープライズVault管理のベストプラクティス

効果的なシークレット管理は、単にファイルを暗号化するだけではありません。これらのベストプラクティスを採用することで、セキュリティと保守性が確保されます:

1. 専用のVaultパスワードファイル

自動化環境では、常に--vault-password-fileメソッドを使用してください。パスワードを含むファイルは、非常に制限された権限(chmod 400)を持ち、決してGitにコミットしてはいけません。

2. 環境の分離

異なる環境(開発、ステージング、本番)には、別々のVaultファイルを使用してください。これにより、低リスク環境が高リスクの本番認証情報にアクセスするのを防ぎます。

  • vars/prod_vault.yml
  • vars/stage_vault.yml

これらのファイルは、インベントリグループまたはプレイブックの条件付きロジックを使用して条件付きで読み込みます。

3. Vaultが不十分な場合の外部シークレットストアの使用

大規模な環境では、HashiCorp Vault、AWS Secrets Manager、クラウドネイティブなキー管理などの外部シークレットストアを検討してください。Ansibleルックアッププラグインは実行時にこれらの値を取得できますが、Ansible Vaultは小規模なシークレット、ブートストラップ値、または専用のシークレットプラットフォームをまだ持っていないチームに役立ちます。

4. グループ変数とプレイブック変数

多くの場合、Vault変数は通常の変数ファイル名を使用してgroup_varsまたはhost_varsの下に保存する方がクリーンです。Ansibleはファイルが読み込まれるときにVaultコンテンツを復号化します。拡張子は単なる慣例であり、復号化をトリガーする機能ではありません。

# 構造例
inventory/
├── hosts
└── group_vars/
    └── webservers/
        └── vault.yml

Vaultを実用的に保つ

プレイブックがすでに読み込んでいるシークレットを暗号化することから始め、チームがVaultパスワードを提供する方法を標準化してください。VaultパスワードをGitの外部に保ち、本番シークレットを下位環境から分離し、アクセスが変更されたときにansible-vault rekeyでパスワードをローテーションしてください。