ã“ã‚“ã«ã¡ã¯ã€‚X(クãƒã‚¹ï¼‰ã‚¤ãƒŽãƒ™ãƒ¼ã‚·ãƒ§ãƒ³æœ¬éƒ¨ ソフトウェアデザインセンター ã‚»ã‚ュリティグループã®è€¿ã§ã™ã€‚
Terraform 㧠Amazon RDS インスタンス/クラスターを作る時ã«ã€password ã¾ãŸã¯ master_password 属性ã«æŒ‡å®šã—ãŸãƒžã‚¹ã‚¿ãƒ¼ãƒ¦ãƒ¼ã‚¶ãƒ¼ã®ãƒ‘スワード㌠tfstate ファイルã«å¹³æ–‡ã§æ®‹ã£ã¦ã—ã¾ã†å•é¡ŒãŒã‚ã‚Šã¾ã—ãŸã€‚
ã—ã‹ã—ã“れもéŽåŽ»ã®è©±ã€‚Terraform AWS Provider v4.61.0 ã‹ã‚‰ã“ã®å•é¡Œã‚’解消ã™ã‚‹æ–¹æ³•ãŒæä¾›ã•ã‚Œã¦ã„ã‚‹ã®ã§ã€ãã‚Œã«ã¤ã„ã¦ã”紹介ã—ã¾ã™ã€‚
- RDS 㨠Secrets Manager ã®çµ±åˆ
- manage_master_user_password を使ã‚ãªã„å ´åˆ
- manage_master_user_password を使ã£ãŸå ´åˆ
- aws_rds_cluster ã«ã‚‚利用ã§ãã‚‹
- KMSã‚ーを指定ã™ã‚‹
- æ—¢å˜ã® Secrets Manager シークレットを利用ã™ã‚‹å ´åˆ
- æ—¢å˜ã®DBã«ä½¿ã£ãŸã‚‰ã©ã†ãªã‚‹ã‹
- スナップショットã‹ã‚‰ãƒªã‚¹ãƒˆã‚¢ã™ã‚‹æ™‚ã®æŒ™å‹•
- ã•ã„ã”ã«
RDS 㨠Secrets Manager ã®çµ±åˆ
事ã®å§‹ã¾ã‚Šã¯ 2022å¹´12月ã«ç™ºè¡¨ã•ã‚ŒãŸ Amazon RDS 㨠AWS Secrets Manager ã®çµ±åˆã¨ã„ã†ã‚¢ãƒƒãƒ—デートã§ã—ãŸã€‚DB 作æˆæ™‚ã«ã€RDS ã¸ã® API コールã«ã¦ãƒžã‚¹ã‚¿ãƒ¼ãƒ¦ãƒ¼ã‚¶ãƒ¼ã®ãƒ‘スワードを Secrets Manager ã§ä½œæˆãƒ»ä¿å˜ã—ã¦ãれるよã†ã«ãªã‚Šã¾ã—ãŸã€‚
Terraform AWS Provider ã§ã‚‚ã“ã‚Œã¸ã®å¯¾å¿œã¨ã—ã¦ã€2023å¹´3月ã«ãƒªãƒªãƒ¼ã‚¹ã•ã‚ŒãŸ v4.61.0 㧠manage_master_user_password 属性㌠aws_rds_cluster 㨠aws_db_instance ã§åˆ©ç”¨ã§ãるよã†ã«ãªã‚Šã¾ã—ãŸï¼
実際ã«ãƒªã‚½ãƒ¼ã‚¹ã‚’作æˆã—ã¦è©¦ã—ã¦ã¿ã¾ã™ã€‚
manage_master_user_password を使ã‚ãªã„å ´åˆ
以下ã®ã‚ˆã†ã«å¹³æ–‡ã§ password を指定ã—〠aws_db_instance リソースを作æˆã—ã¦ã¿ã¾ã™ã€‚(BADプラクティスã§ã™ï¼‰
resource "aws_db_instance" "my-db-1" { allocated_storage = 10 engine = "mysql" engine_version = "5.7" instance_class = "db.t3.micro" username = "master" # password ã«å¹³æ–‡ã§ãƒ‘スワードを記述ã™ã‚‹æ‚ªã„例 password = "MyPassword123" vpc_security_group_ids = [aws_security_group.db.id] skip_final_snapshot = true db_subnet_group_name = "db-subnet-group" }
デプãƒã‚¤å¾Œã® terraform.tfstate ファイルã«ã¯ã€æ¬¡ã®ã¨ãŠã‚Šå¹³æ–‡ã§ãƒ‘スワード文å—列ãŒè¨˜éŒ²ã•ã‚Œã¦ã—ã¾ã£ã¦ã„ã¾ã™ã€‚
例ã®ã‚ˆã†ã« .tf ファイルã«ç›´æŽ¥ password を書ãã®ã¯æœ€æ‚ªã§ã™ãŒã€ä»–ã®å›žé¿ç–(Variablesを利用ã—㦠apply 時ã«ã‚¿ãƒ¼ãƒŸãƒŠãƒ«ã§æŒ‡å®šã™ã‚‹ã€Secrets Manager シークレットã«å…ˆã«ç™»éŒ²ã—ã¦ã‹ã‚‰ Datasource ã§å–å¾—ã™ã‚‹ã€etc)をã¨ã£ãŸã¨ã“ã‚ã§ã©ã†ã—ã¦ã‚‚ tfstate ファイルã«è¨˜éŒ²ã•ã‚Œã¦ã—ã¾ã†ã®ã¯å•é¡Œã§ã—ãŸã€‚
manage_master_user_password を使ã£ãŸå ´åˆ
password 属性を削除ã—ã€manage_master_user_password 属性㫠true ã‚’è¨å®šã—ã¾ã™ã€‚
resource "aws_db_instance" "my-db-2" { allocated_storage = 10 engine = "mysql" engine_version = "5.7" instance_class = "db.t3.micro" username = "master" # manage_master_user_password を利用ã™ã‚‹ manage_master_user_password = true vpc_security_group_ids = [aws_security_group.db.id] skip_final_snapshot = true db_subnet_group_name = "db-subnet-group" }
デプãƒã‚¤ã™ã‚‹ã¨ã€Secrets Manager ã«ã‚·ãƒ¼ã‚¯ãƒ¬ãƒƒãƒˆãŒä½œæˆã•ã‚Œã¦ã„ã‚‹ã“ã¨ãŒã‚ã‹ã‚Šã¾ã™ã€‚
シークレットã®ã‚ーã«ã¯ username 㨠password ãŒç™»éŒ²ã•ã‚Œã¦ãŠã‚Šã€password 㯠RDS ãŒç”Ÿæˆã—ãŸãƒ©ãƒ³ãƒ€ãƒ ãªå€¤ã«ãªã£ã¦ã„ã¾ã—ãŸã€‚ã¾ãŸ 7日間ã®é–“éš”ã§ã‚·ãƒ¼ã‚¯ãƒ¬ãƒƒãƒˆãƒãƒ¼ãƒ†ãƒ¼ã‚·ãƒ§ãƒ³ã‚‚è¨å®šã•ã‚Œã¦ã„ã¾ã—ãŸã€‚
デプãƒã‚¤å¾Œã® terraform.tfstate ファイルã§ã¯ã€password 㯠null ã¨ãªã£ã¦ãŠã‚Šã€å®Ÿéš›ã®ãƒ‘スワード文å—列ã¯ã©ã“ã«ã‚‚記録ã•ã‚Œã¦ã„ã¾ã›ã‚“。
aws_rds_cluster ã«ã‚‚利用ã§ãã‚‹
aws_rds_cluster リソースã«å¯¾ã—ã¦ã‚‚ã€å¾“æ¥ã® master_password ã®ä»£ã‚ã‚Šã« manage_master_user_password を利用ã§ãるよã†ã«ãªã£ã¦ã„ã¾ã™ã€‚
KMSã‚ーを指定ã™ã‚‹
master_user_secret_kms_key_id 属性を利用ã™ã‚‹ã“ã¨ã§ã€ãƒ‡ãƒ•ã‚©ãƒ«ãƒˆã‚ーã§ã¯ãªã指定ã—㟠KMS ã‚ーã§ã‚·ãƒ¼ã‚¯ãƒ¬ãƒƒãƒˆã®æš—å·åŒ–ã‚’ã™ã‚‹ã“ã¨ã‚‚ã§ãã¾ã™ã€‚
(å‚考)
https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/db_instance#managed-master-passwords-via-secrets-manager-specific-kms-key
https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/rds_cluster#rdsaurora-managed-master-passwords-via-secrets-manager-specific-kms-key
æ—¢å˜ã® Secrets Manager シークレットを利用ã™ã‚‹å ´åˆ
今回ã¯è©¦ã—ã¦ã„ã¾ã›ã‚“ãŒã€ master_user_secret ã®è¨å®šãƒ–ãƒãƒƒã‚¯ã‚’使ã†ã¨ã€æ—¢å˜ã® Secrets Manager シークレットをマスターユーザーã®ãƒ‘スワードã«ã§ãるよã†ã§ã™ã€‚
(å‚考)
https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/db_instance#master_user_secret
æ—¢å˜ã®DBã«ä½¿ã£ãŸã‚‰ã©ã†ãªã‚‹ã‹
既㫠password ã‚„ master_password を使ã£ã¦ä½œæˆã—㟠DB ã«å¯¾ã—ã¦ã€manage_master_user_password を利用ã™ã‚‹æ–¹æ³•ã«åˆ‡ã‚Šæ›¿ãˆã‚‹ã“ã¨ã¯å¯èƒ½ã§ã™ã€‚DB ã¯å†ä½œæˆã•ã‚Œã¾ã›ã‚“ãŒã€ãƒžã‚¹ã‚¿ãƒ¼ãƒ¦ãƒ¼ã‚¶ãƒ¼ã®ãƒ‘スワードã¯æ–°è¦ã«ä½œæˆã•ã‚Œï¼ˆç¾åœ¨ã®ãƒ‘スワードã¯å¼•ã継ãŒã‚Œãšã«ï¼‰ Secrets Manager ã«æ–°ã—ã„シークレットã¨ã—ã¦ä¿å˜ã•ã‚Œã‚‹ã‚ˆã†ã§ã™ã€‚æ—¢å˜ã® DB 㧠manage_master_user_password を使ã†æ–¹æ³•ã«åˆ‡ã‚Šæ›¿ãˆã‚‹å ´åˆã¯ã€ã‚¢ãƒ—リケーションã®å‹•ä½œã‚„é‹ç”¨ã«å½±éŸ¿ãŒãªã„ã‹æ…Žé‡ã«ç¢ºèªã—ã¾ã—ょã†ã€‚
スナップショットã‹ã‚‰ãƒªã‚¹ãƒˆã‚¢ã™ã‚‹æ™‚ã®æŒ™å‹•
manage_master_user_password を利用ã—ã¦ä½œæˆã—㟠DB ã®ã‚¹ãƒŠãƒƒãƒ—ショットã‹ã‚‰ãƒªã‚¹ãƒˆã‚¢ã™ã‚‹å ´åˆã€ãƒžã‚¹ã‚¿ãƒ¼ãƒ¦ãƒ¼ã‚¶ãƒ¼ã®ãƒ‘スワードã¯å°‘ã—特殊ãªçŠ¶æ…‹ã«ãªã‚‹ã‚ˆã†ã§ã™ã€‚次ã®ã‚ˆã†ã« manage_master_user_password = true を使ã£ã¦ã‚¹ãƒŠãƒƒãƒ—ショットã‹ã‚‰ DB インスタンスを作æˆã—ã¦ã‚‚ã€Secrets Manager ã«ãƒ‘スワードã¯çµ±åˆã•ã‚Œãšã€RDS ãŒãƒ‘スワードを管ç†ã—ã¦ã„る状態㧠DB ãŒå¾©å…ƒã—ã¾ã—ãŸã€‚パスワードã¯ã‚¹ãƒŠãƒƒãƒ—ショットå–得時点ã®ã‚‚ã®ã§ã—ãŸã€‚
data "aws_db_snapshot" "my-snapshot" { db_snapshot_identifier = "snapshot1" } resource "aws_db_instance" "my-db-from-snapshot" { allocated_storage = 10 engine = "mysql" engine_version = "5.7" instance_class = "db.t3.micro" username = "master" # snapshot_identifier を利用ã—ã¦ãƒªã‚¹ãƒˆã‚¢ã™ã‚‹æ™‚〠# manage_master_user_password 属性を使ã£ã¦ã‚‚ # パスワード㌠Secrets Manager ã§ç®¡ç†ã•ã‚Œãªã„。 manage_master_user_password = true skip_final_snapshot = true db_subnet_group_name = "db-subnet-group" # スナップショットã‹ã‚‰å¾©å…ƒã™ã‚‹ snapshot_identifier = "${data.aws_db_snapshot.my-snapshot.id}" }
ã“ã®ç¾è±¡ã¯ GitHub ã® Issue ã«ã‚‚å ±å‘Šã•ã‚Œã¦ãŠã‚Šã€è¨˜äº‹åŸ·ç†æ™‚点ã§ã¯æœªè§£æ±ºã§ã™ã€‚ãŸã ã— tfstate ファイルã«è¨˜éŒ²ã•ã‚ŒãŸ password 㯠null ã ã£ãŸãŸã‚ã€Terraform AWS Provider ã®ãƒã‚°ã¨ã„ã†ã‚ˆã‚Šã¯ RDS ã®åˆ¶ç´„ãªã®ã‹ã‚‚ã—ã‚Œã¾ã›ã‚“。
リストアã—㟠DB ã®ãƒ‘スワードも Secrets Manager ã§ç®¡ç†ã™ã‚‹ãŸã‚ã«ã¯ã€ä»Šã®ã¨ã“ã‚ã®æ¬¡ã®ãƒ¯ãƒ¼ã‚¯ã‚¢ãƒ©ã‚¦ãƒ³ãƒ‰ãŒè‰¯ã•ãã†ã§ã™ã€‚
manage_master_user_passwordを付ã‘ãšã« Terraform ã§ã‚¹ãƒŠãƒƒãƒ—ショットをリストア(apply)- スナップショットå–得時点ã®ãƒ‘スワードをã€RDS ãŒç®¡ç†ã—ã¦ã„る状態ã§ãƒªã‚¹ãƒˆã‚¢ã•ã‚Œã‚‹
manage_master_user_password = trueを付ã‘ã¦ã‚‚ã†ä¸€åº¦applyã™ã‚‹- マスターユーザーã®ãƒ‘スワードã¯æ–°è¦ã«ä½œæˆã•ã‚Œã¦ Secrets Manager ã«ä¿å˜ã•ã‚Œã‚‹
data "aws_db_snapshot" "my-snapshot" { db_snapshot_identifier = "snapshot1" } resource "aws_db_instance" "my-db-from-snapshot" { allocated_storage = 10 engine = "mysql" engine_version = "5.7" instance_class = "db.t3.micro" username = "master" # リストア時㯠manage_master_user_password を付ã‘ãšã« apply # リストア後 manage_master_user_password を付ã‘ã¦å†åº¦ apply # manage_master_user_password = true skip_final_snapshot = true db_subnet_group_name = "db-subnet-group" snapshot_identifier = "${data.aws_db_snapshot.my-snapshot.id}" }
ã•ã„ã”ã«
Terraform ã«ãŠã„㦠tfstate ファイルã«å¹³æ–‡ã® DB パスワードãŒæ®‹ã£ã¦ã—ã¾ã†å•é¡Œã‚’ç°¡å˜ã«è§£æ¶ˆã™ã‚‹ manage_master_user_password 属性ã«ã¤ã„ã¦ã”紹介ã—ã¾ã—ãŸã€‚今後新ãŸã« Terraform 㧠RDS インスタンス/クラスターを作る時ã«ã¯ã€ãœã²åˆ©ç”¨ã‚’検討ã—ã¾ã—ょã†ã€‚ãŸã ã—スナップショットã‹ã‚‰ãƒªã‚¹ãƒˆã‚¢ã™ã‚‹æ™‚ã®å‹•ãã¯ï¼ˆè¨˜äº‹åŸ·ç†æ™‚点ã§ï¼‰å°‘ã—特殊ãªã®ã§è¦æ³¨æ„ã§ã™ã€‚
ãŠèªã¿ã„ãŸã ã„ã¦ã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã—ãŸã€‚
ç§ãŸã¡ã¯åŒã˜ãƒãƒ¼ãƒ ã§åƒã„ã¦ãれる仲間を大募集ã—ã¦ã„ã¾ã™ï¼ãŸãã•ã‚“ã®ã”応募をãŠå¾…ã¡ã—ã¦ã„ã¾ã™ã€‚
ã‚»ã‚ュリティエンジニア執ç†ï¼š@kou.kinyoã€ãƒ¬ãƒ“ュー:寺山 è¼ (@terayama.akira)
(Shodoã§åŸ·ç†ã•ã‚Œã¾ã—ãŸï¼‰
