はじめに
SPIRE v1.2.0の変更内容を紹介します。
がついた文章は筆者の補足です。
Added
- SPIRE serverはTTLを指定してagentのSVIDが作成できるようになりました (#2667)
- agentのSVIDは今までserver設定の
default_svid_ttlの値が使われていました
-
- 固定のadmin用SPIFFE IDのセットがSPIRE serverに設定できるようになりました (#2677)
- 事前にadminのIDリストを設定しておくと、該当IDを持つSVIDにはadmin権限が付与されます
-
Changed
- 設定ミスを防ぐため、アップストリームの署名されたCAチェーンが検証されるようになりました (#2644)
- これにより、中間チェーンが返されなかったり、適切ではない署名が使われているなど、不正なチェーンが含まれていることを事前に検出できます
-
- SVIDの署名ログにより多くのコンテキストが含まれるようになりました (#2678)
- SVIDの署名イベントのログにはログの発信元の情報が足りないため、それらの情報が追加されました
-
- 非推奨になっていたagentの鍵ファイル(
svid.key)がagentにより能動的に削除されなくなりました (#2671) - agentのpath template実行時に、キー不足で失敗した時のエラーを改善しました (#2683)
- SPIREがSPIRE Plugin SDKで公開されているSVIDStore V1インターフェースを利用するようになりました (#2688)
Deprecated
-
spire.api.types.SPIFFEIDメッセージにおいて、先頭がスラッシュではないパスのサポートが非推奨になりました (#2686, #2692) - SPIRE Plugin SDKを利用するため、SPIREリポジトリのSVIDStore V1インターフェース名が
svidstore.V1Unofficialに変更され、非推奨になりました (#2688)