kikumotoのメモ帳

インフラ・ミドル周りを中心に、興味をもったことを適当な感じで。twitter : @takakiku

JTF2016で話してきました - HashiCorp Vault + LDAP + MySQL

先日(2017/7/24)に行われた July Tech Festa 2016 でトークが採択されたので話してきました。

タイトル: HashiCorp VaultでMySQLアカウント管理はもう怖くない 2016.techfesta.jp

基本的に前回のエントリ YAPC::Asia Hachioji 2016 mid in Shinagawaで話した、スタッフした! - kikumotoのメモ帳 と同じ内容をしゃべりました。

基本的に話した内容はスライドにある通りです。

一番のポイントは、Vault では認証基盤とアクセス管理対象を、Vault が提供している Auth / Secret Backend の範囲で自由に組みわせられるということです。

GitHub Token を使って、PostgreSQL のアカウント管理なんかもできてしまいます。これを理解していただけると、自分の環境のニーズに合わせて、アカウント管理が安全に柔軟にできるのではと思っています。

あと今回出た質問と回答をまとめておきます。

  • すでにMySQLにアカウントが登録されていた状態だったのか?

    • 私の環境では、そうではなくて管理したいアカウントを新規に作っていくという感じでしたので、既存アカウントの移行という感じではありませんでした。
  • 今回の話し人がアクセスするという話しだったように思えるが、アプリケーションの場合はどうなるのか?

    • Auth Backend に App ID というのがあり、Vault 自体がアプリケーションのにアクセスKeyみたいなのを発行する仕組みがあります。これにより、アプリケーションは必要に応じて都度MySQLのアカウントを生成できて、アプリケーションがconfigに書かれた固定的なMySQLのアカウント・パスワードを使う必要がなくなります。

ということで、7月の2つもトークすることができて満足です。

聞きにきてくださった皆様、本当にありがとうございました。

また、JTFのスタッフの皆様、よいイベントにしていただきありがとうございました。