【Terraform】secret情報保存のベストプラクティス

TerraformでRDSのログイン情報を管理する場合、セキュリティと運用効率を考慮したベストプラクティスが重要です。以下に、推奨される方法と、避けるべきアンチパターンを説明します。

避けるべきアンチパターン

• Terraformコードに直接パスワードを記述する:

  • resource "aws_db_instance" "example" { ... username = "admin" password = "password123" ... }
  • これは絶対に避けるべきです。コードがバージョン管理システムにコミットされた場合、パスワードが平文で漏洩するリスクがあります。

• ステートファイルに平文パスワードを保存する:

  • Terraformのステートファイルにもパスワードが平文で保存される可能性があります。ステートファイルも厳重に管理する必要がありますが、そもそも平文で保存しないようにするのがベストです。

• リポジトリにパスワードをコミットする:

  • パスワードを環境変数として設定する場合でも、それをリポジトリにコミットするスクリプトや設定ファイルに記述するのは避けるべきです。

推奨されるベストプラクティス

1. シークレット管理ツールの利用:

   • AWS Secrets Manager: AWSが提供するシークレット管理サービスを利用します。

     • RDSのパスワードをSecrets Managerで生成・管理し、Terraformから参照します。
     • パスワードのローテーション機能も利用できます。
     • IAMロールでアクセス制御を行い、必要なリソースのみがシークレットにアクセスできるようにします。

     data "aws_secretsmanager_secret_version" "rds_password" {
       secret_id = "arn:aws:secretsmanager:リージョン:アカウントID:secret:rds-password-xxxxxx" # Secrets ManagerのシークレットARN
     }
     
     resource "aws_db_instance" "example" {
       ...
       username = "admin"
       password = data.aws_secretsmanager_secret_version.rds_password.secret_string
       ...
     }
     

   • HashiCorp Vault: マルチクラウド環境やオンプレミス環境でも利用できるシークレット管理ツールです。

     • TerraformからVaultのシークレットエンジンを通じてパスワードを取得します。

2. パスワードの自動生成:

   • Terraformのrandom_passwordリソースや、AWS Secrets Managerの自動パスワード生成機能を利用して、RDSインスタンス作成時にランダムなパスワードを生成します。

   • 手動でパスワードを設定するよりも安全で、複雑なパスワードを容易に設定できます。

     resource "random_password" "rds_password" {
       length           = 16
       special          = true
       override_special = "!#$%&*()-_=+[]{}<>:?"
     }
     
     resource "aws_db_instance" "example" {
       ...
       username = "admin"
       password = random_password.rds_password.result
       ...
     }
     

     • random_passwordで生成したパスワードをSecrets Managerに保存し、後から参照するようにすると、より安全に管理できます。

3. 環境変数またはTerraform Cloud/Enterpriseの変数:

   • 機密性の低い環境や、ローカルでの開発環境など、限定的な状況下では環境変数を利用することも考えられます。
   • Terraform Cloud/Enterpriseを利用している場合は、変数グループやワークスペース変数で機密変数を設定できます。
   • ただし、環境変数はプロセスやログに漏洩するリスクがあるため、本番環境など機密性が求められる環境での利用は推奨されません。

4. IAM認証の利用 (パスワードレス認証):

   • RDS for MySQL, PostgreSQL, MariaDB ではIAM認証を利用できます。
   • パスワードを使用せずに、IAMロールに基づいてデータベースへのアクセスを制御します。
   • TerraformでIAMロールとポリシーを適切に設定し、RDSインスタンスに紐付けることで、よりセキュアな認証基盤を構築できます。
   • パスワード管理が不要になり、運用負荷を軽減できます。

5. パスワードローテーション:

   • 定期的にRDSのパスワードをローテーションすることを検討してください。
   • AWS Secrets Managerのローテーション機能や、Terraformと連携した自動ローテーションの仕組みを構築できます。
   • パスワード漏洩時のリスクを低減し、セキュリティを向上させます。

6. Terraform Stateの保護:

   • Terraform Stateファイルには、リソースの設定情報が含まれており、機密情報も含まれる可能性があります。
   • StateファイルをS3などのセキュアな場所に保存し、バージョン管理、暗号化、アクセス制御を適切に行うことが重要です。
   • Terraform Cloud/Enterpriseを利用すると、Stateの管理を安全に行うことができます。

まとめ

TerraformでRDSのログイン情報を管理するベストプラクティスは、シークレット管理ツール（AWS Secrets Managerなど）を利用し、パスワードを自動生成・管理することです。IAM認証が利用できる場合は、パスワードレス認証も強力な選択肢となります。

セキュリティを最優先に考え、環境や要件に応じて適切な方法を選択してください。パスワードをコードに直接記述する、平文で保存するなどのアンチパターンは絶対に避けるようにしてください。