シークレットマネージャ

シークレットマネージャでは、セキュアコンテナテクノロジを使用して、非公開キー、パスワード、証明書、およびその他のシークレットの保存とアクセス制御を行います。

シークレットマネージャは Runtime Fabric と API Manager でのみサポートされています。

シークレットマネージャを使用して、承認済みの他のプラットフォームサービスへの代理アクセスを許可する一意のソース内でシークレット、キー、トランスポート層セキュリティ (TLS) 証明書の書き込み、読み取り、管理を行うことができます。

シークレットマネージャでは、次のシークレット種別を保存および管理できます。

  • 共有シークレット:
    共有シークレットは、メッセージ送信者とメッセージ受信者の両方がシークレットを把握している対称暗号化および対称復号化で使用されます。
    Anypoint シークレットマネージャでは、共有シークレットとして使用される次のシークレット種別を保存できます。

    • パスワード:
      送信者と受信者がメッセージをエンコードおよびデコードするために使用するパスワード。

    • 対称キー:
      送信者と受信者がメッセージをエンコードおよびデコードするために使用する公開キー暗号化。

    • S3 ログイン情報:
      AWS S3 バケットにアクセスするためのセキュリティキーのペア。

    • Blob:
      自由形式のアプリケーション固有のシークレット。Blob は、特定のアプリケーションで使用される base64 でエンコードされたデータです。たとえば、blob には base64 でエンコードされた JSON オブジェクトを保存できます。
      シークレットは、API コールを介して保存され、base64 でエンコードされている必要があります。

  • 証明書:
    公開 X.509 証明書。公開キーと ID (ホスト名、組織、または個人) をバインドする電子ドキュメントです。

  • 非公開キー:
    暗号化および復号化のアルゴリズムを有効にするための公開キーとペアになるシークレットキー値。

  • キーストア:
    セキュリティ証明書 (承認証明書または公開キー証明書のいずれか) と対応する非公開キーのリポジトリ。

  • トラストストア:
    通信する他の関係者、または他の関係者を識別する信頼できる証明機関のセキュリティ証明書のリポジトリ。

  • 証明書ピンセット:
    クライアントまたはホストを想定される X.509 証明書または公開キーに関連付ける他の関係者のセキュリティ証明書のリポジトリ。

  • CRL ディストリビュータ:
    関連付けられていた非公開キーまたは署名 CA が侵害されたために信頼されなくなった CA 証明書のリストを作成および管理するエンティティ。

  • TLS コンテキスト:
    SSL セキュリティパラメータ (使用する暗号や TLS のバージョンなど)。

Anypoint シークレットマネージャでは、これらのシークレットをシークレットグループ (環境やビジネスグループに関連付けられたコンテナ) に保存できます。

各シークレットグループには、一意の暗号化キーと、読み取り、書き込み、管理に対応するインスタンスごとのアクセスルールが含まれます。これらのシークレットを要求するようにアプリケーションまたはプラットフォームサービスを設定したり、それらにアクセスできるサービスを制御したりできます。この基本的なタスクは、2 つのマクロサービスによって処理されます。

  • シークレットマネージャ:
    このサービスは、シークレットのアップロードと保存を処理します。
    シークレットをコンテナにアップロードするたびに、シークレットマネージャはコンテンツを公開せずに共有または読み取りができるようにその参照を確立します。

  • シークレットプロバイダ:
    このサービスは、プラットフォームサービスがコンシュームできるようにシークレットを処理します。
    これは、実際のシークレットを読み取ることができる唯一のサービスであるため、公開ネットワークからアクセスできない内部サービスとなっています。このサービスは、シークレットをコンシュームする要求元クライアントによって使用されます。

index 85615

Anypoint シークレットマネージャは、シークレットの実際の値をアプリケーションバンドル内に保存せず、それらの値のプレースホルダを保存します。 このプレースホルダは、後で承認されたクライアントが要求したときに、シークレットプロバイダのみがアクセスする実際のシークレットに置き換えられます。

Was this article helpful?

💙 Thanks for your feedback!

Edit on GitHub