シークレットマネジメントを使用すると、エージェントやオンホストの統合機能で機密データ(パスワードなど)を設定ファイルに平文で記述することなく使用できるようになります。現在、Hashicorp Vault、AWS KMS、CyberArk、New Relic CLIの難読化がサポートされています。
詳しくは、NerdBytesのビデオ(5分12秒)をご覧ください。
秘密の定義
設定用YAMLファイルでシークレットを使用するには
variablesセクションを定義します。各エントリはシークレットオブジェクトの名前です。- 各エントリには、秘密のソースと、それらの秘密を取得するための適切な構成を含めてください。
- 一般的な構成セクションで、シークレットオブジェクトのプロパティによって自動的に置き換えられる
${variable.property}プレースホルダーを設定します。シークレットオブジェクトは、単純な文字列またはjsonオブジェクトとして定義できます。
重要
秘密の検索に失敗すると、インフラストラクチャ・エージェントが実行に必要なすべてのデータを持っていないため、統合は実行されません。
たとえば、次の構成では、Vaultからcredsという名前のオブジェクトを取得します(シークレットのオブジェクト名を定義できます)。保存されたオブジェクトが、 userという名前のプロパティとpasswordという名前の別のプロパティを持つ有効なJSONであると仮定します。それらを使用して、Nginxオンホスト統合からのstatus_urlプロパティの基本HTTPクレデンシャルを設定します。
variables: creds: vault: http: url: http://my.vault.host/v1/newengine/data/secret headers: X-Vault-Token: my-vault-tokenintegrations: - name: nri-nginx env: METRICS: "true" STATUS_URL: http://${creds.user}:${creds.password}@example.com/status STATUS_MODULE: discover REMOTE_MONITORING: true interval: 30s labels: env: production role: load_balancerヒント
変数からは、単純な文字列と有効なJSONオブジェクトの両方を取得することができます。
JSONオブジェクトを使用する場合は、キーと値の両方がダブルクオートで囲まれていることを確認してください。
環境変数の使用
環境変数は、 {{MY_ENV_VAR}}表記でvariablesセクションに使用できます。その際、環境変数が展開され、実行時にその値が置き換えられます。
トークンや難読化キーなどの機密性の高い値が設定ファイルに含まれないようにするには、この方法を使用します。
オンホストの統合設定ファイルで環境変数を使用する場合、 passthrough_environment 設定を定義する必要があります。
秘密の変数
variablesセクションの下の各構成でシークレットを定義します。各エントリは、取得したシークレットのプロパティを格納するユーザー定義のシークレット名です。各変数には、次のプロパティを含めることができます。
YAMLキー | 説明 |
|---|---|
タイプ文字列 | シークレットが更新されるまでの時間。これは、数値の後に時間単位( 例: デフォルト: |
| |
| |
| CyberArkのコマンドラインインターフェイスの設定 |
| |
|
AWS KMSの秘密
Amazon KMSからシークレットを取得するには、 aws-kmsセクションで次のプロパティを設定できます。すべてのフィールドが必須というわけではありません。たとえば、エンコードされたKMS文字列を提供するには、 data 、 file 、またはhttpのいずれかが必要になります。
YAMLキー | 説明 |
|---|---|
タイプ文字列 | 復号化するBase64エンコードされたKMS文字列 |
タイプ文字列 | 復号化するBase64エンコードされたKMS文字列を含むファイルへのパス |
タイプYAMLプロパティ | Base64でエンコードされたKMS文字列を復号化するように要求するために使用するHTTP構成。詳細については、 Vault |
タイプ文字列 | AWS認証情報ファイルへのパス |
タイプ文字列 | AWS設定ファイルへのパス |
タイプ文字列 | AWS KMSリージョン |
タイプ:文字列( | 秘密の値のフォーマット。
|
次の例では、AWSKMSからプレーンなパスワード文字列を取得できます。提供されたdataエンコード文字列から復号化する必要があります。
variables: myPassword: aws-kms: data: T0hBSStGTEVY region: ap-southeast-2 credential_file: "./my-aws-credentials-file" config_file: "./my-aws-config-file" type: plainヴォールトの秘密
Vaultは、Vaultへの接続に使用されるHTTP構成を含むhttpフィールドを有効にする必要があります。httpエントリには、次のエントリを含めることができます。
YAMLキー | 説明 |
|---|---|
タイプ文字列 | データを要求するURL |
タイプYAMLプロパティ | |
タイプYAMLマップ | リクエストヘッダー |
tls_configプロパティ
重要
シークレットはドット表記を使用する必要があります(例: ${mysecret.nestedkey} 。
YAMLキー | 説明 |
|---|---|
タイプブーリアン | TLSを有効にする デフォルト: |
タイプブーリアン | サーバーの証明書チェーンとホストの検証をスキップする デフォルト: |
型。UInt16 | 受け入れ可能なSSL/TLSの最小バージョン デフォルト: |
型。UInt16 | 許容される最大のSSL/TLSバージョン デフォルト: |
タイプ文字列 | TLS証明書
|
次の例では、セキュリティで保護されたサーバーから Vault トークンを使用してシークレットを取得し、サーバー証明書の検証をスキップします。
variables: mydata: vault: http: url: https://my.vault.host/v1/newengine/data/secret headers: X-Vault-Token: my-vault-token tls_config: insecure_skip_verify: trueCyberArkのコマンドラインインターフェイス
CyberArkのコマンドラインインターフェイス(CLI)からシークレットを取得するには、以下の構成を使用します。すべてのキーが必要です。
YAMLキー | 説明 |
|---|---|
タイプ:文字列 | CyberArk CLI実行ファイルのフルパス デフォルト:"" |
タイプ:文字列 | 秘密保持者のアプリケーションID デフォルト:"" |
タイプ:文字列 | 秘密が詰まった金庫 デフォルト:"" |
タイプ:文字列 | 秘伝書の入ったフォルダ デフォルト:"" |
タイプ:文字列 | 秘密が関連付けられているオブジェクト デフォルト:"" |
次の例では、コマンドライン・インターフェースを使ってCyberArkの秘密を取得します。
variables: credentials: cyberark-cli: cli: /full/path/to/clipasswordsdk app-id: my-appid safe: my-safe folder: my-folder object: my-objectCyberArk REST API
CyberArk REST APIを使用してシークレットを取得するには、HTTP構成を含むhttpキーが必要です。httpキーにはこれらのサブキーが含まれています。必要なのはurlのみです。
YAMLキー | 説明 |
|---|---|
タイプ文字列 | データを要求するURL、このキーが必要です。 デフォルト:なし |
タイプYAMLプロパティ | |
タイプYAMLマップ | リクエストヘッダー |
次の例では、CyberArk REST APIを使用して、サーバー証明書の検証を省略してシークレットを取得しています。
variables: credentials: cyberark-api: http: url: https://hostname/AIMWebService/api/Accounts?AppID=myAppID&Query=Safe=mySafe;Object=myObject tls_config: insecure_skip_verify: trueNew Relic CLIの難読化
重要
可能であれば、単純な難読化ではなく、サポートされているシークレットプロバイダーを使用することをお勧めします。
下記のガイドラインを参照して、環境変数を定義し、設定ファイルに難読化キーを持たないようにしてください。
Windowsホストでは、コマンドプロンプトウィンドウではなく、Powershellを使用してください。コマンドプロンプトウィンドウでは、引用符が予期せぬ方法で処理されることがあるからです。
ヒント
Infrastructure Agent 1.14.0以上が必要です。
New Relic CLI の obfuscate コマンドを使用すると、インフラストラクチャ エージェントやオンホストの統合設定ファイル内の機密情報を不明瞭にすることができます。
ステップ
- New Relic CLI を任意のホスト(開発用のホストでも可)にインストールします。
- 難読化された値を生成するために、CLI obfuscateコマンド を実行します。
newrelic agent config obfuscate --value '<plain_text_config_value>' --key '<obfuscation_key>'- 以下の例に示すように、cliコマンドの結果を
obfuscatedセクションのtext引数にコピーします。 - 構成YMLファイルで複数の値を参照する必要がある場合は、JSONブロックを難読化できます。Windowsホストでは、引用符
""を円記号でエスケープする必要がある場合があることに注意してください。例:'{\"attribute\":\"value\"...。さらに、コマンドプロンプトウィンドウでは予期しない方法で引用符を処理できるため、コマンドプロンプトウィンドウではなく、WindowsホストでPowershellを使用してください。
newrelic agent config obfuscate --value '{"attribute":"value","attribute2":"value2"}' --key '<obfuscation_key>'YAMLキー | 説明 |
|---|---|
キー タイプ文字列 | New Relic CLI を使用してクリアテキスト値を難読化する際に使用する文字列 デフォルト:なし |
タイプ文字列 | newrelic-cliコマンドの出力結果 デフォルト:なし |
Integrations configuration example
以下の例では、New Relic CLI を使用して難読化された Nginx のユーザーとパスワードを取得することができます。この例では、難読化された値が JSON ブロックであったため、認証情報を取得する際にドット記法を使用しています。
variables: creds: obfuscated: key: 'random_key_used_in_cli' secret: 'obscured_output_from_cli'integrations: - name: nri-nginx env: METRICS: "true" STATUS_URL: http://${creds.user}:${creds.password}@example.com/status STATUS_MODULE: discover REMOTE_MONITORING: true interval: 30s labels: env: production role: load_balancer以下の例のように、難読化の引数に環境変数を使用することをお勧めします。
variables: creds: obfuscated: key: {{OBFUSCATION_KEY}} secret: {{OBFUSCATION_TEXT}}integrations: - name: nri-nginx env: METRICS: "true" STATUS_URL: http://${creds.user}:${creds.password}@example.com/status STATUS_MODULE: discover REMOTE_MONITORING: true interval: 30s labels: env: production role: load_balancerエージェント設定例
この例では、プロキシの詳細(ユーザ、パスワード、ホスト)を含む文字列を取得することができます。
variables: obfuscated_proxy: obfuscated: key: 'random_key_used_in_cli' secret: 'obscured_output_from_cli'
proxy: ${obfuscated_proxy}