【Oracle Cloud Infrastructure】CLI で Vault に Secret を作成する

Oracle Cloud Infrastructure(OCI) の Key Management Service である Vault では、暗号鍵だけでなくシークレットも保管できる。

¹

OCI CLI を使った Secret の作成と、作成した Secret の確認について。

Secret の登録

oci vault secret create-base64 で作成できる。
--vault-id と --key-id が必要なので、事前に Vault とマスター鍵を作成しておく必要がある。
なお、管理コンソールからは平文のまま作成することもできるが、CLI からは Base64 値だけのよう。

fish

$ set secretvalue (echo "This is a test value" | base64)
$ echo $secretvalue
VGhpcyBpcyBhIHRlc3QgdmFsdWUK
$ oci vault secret create-base64 -c ocid1.compartment.oc1.exampleuniqueID --secret-name test-value --vault-id ocid1.vault.oc1.ap-tokyo-1.exampleuniqueID --key-id ocid1.key.oc1.ap-tokyo-1.exampleuniqueID --secret-content-content $secretvalue
{
  "data": {
    "compartment-id": "ocid1.compartment.oc1.exampleuniqueID",
    "current-version-number": 1,
    "defined-tags": {
      "control_internal": {
        "owner_id": "${iam.principal.id}",
        "owner_name": "oracleidentitycloudservice/hitsumabushi845@example.com"
      }
    },
    "description": null,
    "freeform-tags": {},
    "id": "ocid1.vaultsecret.oc1.ap-tokyo-1.exampleuniqueID",
    "key-id": "ocid1.key.oc1.ap-tokyo-1.exampleuniqueID",
    "lifecycle-details": null,
    "lifecycle-state": "CREATING",
    "metadata": null,
    "secret-name": "test-value",
    "secret-rules": null,
    "time-created": "2021-03-22T03:22:39.184000+00:00",
    "time-of-current-version-expiry": null,
    "time-of-deletion": null,
    "vault-id": "ocid1.vault.oc1.ap-tokyo-1.exampleuniqueID"
  },
  "etag": "d89a537eba6c2f7652a4cf6647d3cf673b6290bc3423b85a4719e676c0d4c6e6"
}

Secret の確認

oci secrets secret-bundle get で作成済みの Secret を取得する。
Base64 値の場合は jq と組み合わせて以下のようなワンライナーで確認できる。

$ oci secrets secret-bundle get --secret-id ocid1.vaultsecret.oc1.ap-tokyo-1.exampleuniqueID | jq '.data["secret-bundle-content"].content' -r | base64 -d
This is a test value

See also

• OCI CLI Command Reference - vault
• OCI CLI Command Reference - secrets
• SpeakerDeck - Vault概要

---

1. 図はSpakerDeckから。 ↩