1Passwordと Kubernetes Secretsで実現する方法
共有
コード
問題提起
-
モバイルからの credential 編集・追加をもっと楽にしたい
-
Azure Key Vaultはモバイル操作性が low、ちょっとした編集が手間
-
使い勝手の良い解決策を探していたところ、1Passwordと Kubernetesの公式連携があると知り、実現可能性を検証した
背景と現状
-
1Passwordを日常的に使っていて、モバイルUXが優れている点が魅力
-
Kubernetes Secret の管理を、公式の連携で自動化・安全に行えれば作業効率が上がる
-
公式の Kubernetes Secrets Operator が用意されており、信頼できる公式ツールとして運用可能
-
移行検討の背景
-
Azure Key Vaultはモバイル操作性に課題があった
-
「Credentialをモバイルで素早く編集したい」というニーズが根底にある
-
検討と意思決定
-
公式ツールを優先して検証する方針を採用
-
Kubernetes Secrets Operatorを使えば、Vault/Item/Field単位で同期可能
-
Service Account Tokenを発行して最小権限でのアクセスを実現
-
-
同期対象は「Vault → Item → Field」という階層設計に落とす
-
無駄な権限を付与せず、必要な更新は field の追加で対応
-
-
Terraformで構築する前提を設定
-
再現性と運用の安定性を確保
-
-
実運用の次の段として、図解とサンプルコードの公開も検討
解決策と成果
-
公式 Kubernetes Secrets Operator をベースに、モバイルでの編集・追加を前提とした運用を提案
-
保管庫ごとに Service Account Token を発行、最小権限でアクセス
-
同期対象を Vault/Item/Field として管理、キー追加は field の追加で対応
-
-
モバイルUXを活かしつつ、Kubernetes への安全な同期を実現
-
Terraform でのインフラ構成をコード化、再現性を確保
-
今後に備え、図解やサンプルコードの公開を検討
Nextアクション
-
図解(構成図)を作成して全体像をわかりやすくする
-
Terraformコードの有無を決め、公開範囲を整理
-
ターゲットをSRE/個人開発/スタートアップのいずれに絞るか決定
-
スライド枚数を10枚以内に収めるかどうか検討
-
需要があれば、実際のコード/設定例を公開する準備を進める
メモ
-
Kubernetes Secret
-
1Password
-
Kubernetes Secrets Operator
-
Azure Key Vault
-
Terraform
-
モバイル対応
