HashiCorp の年次イベント HashiConf 2024 の Day 2 にて HCP Vault Secrets (HVS) に多くのアップデートが発表されました!
- Auto-rotation (GA)
- Dynamic Secrets (Public beta)
- Resource-level access control (GA)
- Audit log streaming (Public beta)
- Plus SKU (GA)
Auto-rotation (GA)
従来、HCP Vault Secrets は静的シークレットしかサポートしていませんでした。 多くの場合、シークレットの漏洩による損害を抑えるために一定期間でシークレットをローテーションさせます。 静的シークレットを利用する場合はこのローテーションが手作業になってしまうため、ローテーション時期になると生産性が低下してしまうとのこと。
今回登場した Auto-rotation は静的シークレットとは異なるシークレットの種類となります。 30日、60日、90日の中からローテーション期間を選択でき、この期間で自動的にシークレットがローテーションされます。
また、ローテーションすることでシークレットのバージョンが更新されていきますが、2つのバージョンが使える状態になるため、アプリケーションのダウンタイムを回避できるようです。
現在サポートしているのは以下になりますが、今後追加されるとのこと。
- AWS IAM
- Google Cloud Service Account
- MongoDB
- Twilio
この Auto-rotation は後述する HCP Vault Secrets の Plus SKU のみサポートされているようです。
Dynamic Secrets (Public beta)
通常の Vault でも目玉機能となっている Dynamic Secrets(動的シークレット)が HCP Vault Secrets にも登場しました!
動的シークレットを使うことでユーザが利用したいタイミングでシークレットが作成されて、利用後にシークレットは破棄されるため静的シークレットに比べて安全です。
Vault ではデータベースなどの動的シークレットをサポートしていましたが、現時点で HCP Vault Secrets でサポートされているのは以下の認証のみとなります。
- AWS STS
- Google Cloud SAI
- Dynamic creds for HCP Terraform
動的シークレットはパブリックベータのステータスですが、Auto-rotation と同じく HCP Vault Secrets の Plus プランのみサポートされるようです。
エンタープライズ向けアップデート
エンタープライズ向けの HCP Vault Secrets のアップデートとして以下の機能が追加されました。
- Resource-level access control (GA)
- Audit log streaming (Public beta)
- Plus SKU (GA)
上2つは HashiCorp Cloud Platform のアップデートと合わせて HCP Vault Secrets でも利用できるようになった機能です。
従来、HCP Vault Secrets は Free と Standard の2種類の SKU が出ていましたが、今回 Plus SKU が登場したことで HCP Vault Secrets を使う際の選択肢が増えました。 料金体系 Standard と同じく管理するシークレット数に依るようです。
今回の HashiConf では HCP Vault Secrets のアップデートがフォーカスされていたと思います。 シークレット管理を始めやすいサービスなので、ぜひお試しください。
