はじめに

ローカル環境とAWS EC2上にHashiCorp Vaultサーバーの環境を構築してみたときのメモです

どんなことができるの？

AWSのIAM ユーザーの動的に作成することができます。

インストール方法

ローカルで実行する

環境 WSL Ubuntu18.04

HashiCorp Vaultをインストール

sudo yum install vault

バージョン確認

vault version

開発サーバーの起動

vault server -dev

起動できるとこのような画面になる

そしてhttp: //127.0.0.1:8200 にアクセスすると管理画面にアクセスできる

ターミナルに表示されている Root Tokenを入力するとログインできる

ログイン後の画面

EC2上で実行 EIPからアクセスできるようにする

環境 Amazon Linux2

Vault用のEC2インスタンスに接続

ココからEC2で操作
HashiCorp Vaultをインストール

sudo yum install vault

バージョン確認

vault version

EIPでアクセスしたいためそれ専用のコンフィグファイルを作る

vi ~/config.hcl

コンフィグファイルに下記を入力

storage "inmem" {}

listener "tcp" {
 address     = "EC2のプライベート IPv4 アドレス:8200"
 tls_disable = true
}

lsコマンド等で今いるディレクトリにconfig.hclがあることを確認

開発サーバーを起動

vault server -dev -config=config.hcl

ブラウザからアクセス
http:// EIPアドレス:8200/ にアクセス
ログイン画面が表示される

ターミナルに表示されている Root Tokenを入力するとログインできる

適当なアカウント発行してみる

ログイン後

AWSアカウントを連携
Access→Auth Methods→Enable new methodを選択

AWSを選択

Enable Methodを選択

Vaultを利用したい環境でVault専用のIAMを作ってそのアクセスキーとシークレットキーを入力
今回はテストのためVault専用のIAMにはadminロールを付けています。

Secrets → Secrets Engines → Enable new engine

AWSを選択

Enable Engineを選択

Create Roleを選択

今回は適当にs3の閲覧のみのポリシーを付ける →Create Role
使ったポリシー

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "arn:aws:s3:::*"
    }
  ]
}

s3という名前のロールができた
右の方のGenerate credentialsを選ぶ

Generateを選択

アカウントが発行される

青いボタンのCopy credentialsを選ぶと動的に発行したアカウントのアクセスキーを取得できる

発行したアカウントを使ってs3を見てみる

問題なく表示できた

今回はここまで