1. 導入: なぜAnsible Vaultが必要なのか
インフラ構成のコード化(IaC)を進める際、避けて通れないのが「機密情報の管理」です。DBのパスワードやAPIキーをプレーンテキストでGitリポジトリに保存することは、セキュリティ上の重大なリスクとなります。Ansible Vaultは、これらの機密情報をAESで暗号化し、コードベースと一緒に安全に管理するための強力なツールです。本記事では、実務で即戦力となるAnsible Vaultの導入手順と、運用の勘所を解説します。
2. 基礎知識: Ansible Vaultの仕組み
Ansible Vaultは、Ansibleの標準機能として提供される暗号化・復号化エンジンです。ファイルをAES(Advanced Encryption Standard)という堅牢なアルゴリズムで暗号化します。暗号化されたファイルは、実行時に指定したパスワード(Vaultパスワード)を入力することで、メモリ上で一時的に復号され、Playbookが実行されます。これにより、リポジトリ上には決して生の情報が残らない仕組みを実現します。
3. 実装/解決策: 具体的な手順
まず、機密情報を格納する変数ファイルを作成し、Vaultで暗号化します。
手順1:暗号化された変数ファイルの作成
コマンドラインで以下のコマンドを実行し、ファイルを生成します。
ansible-vault create group_vars/all/vault.yml
※実行後、パスワード入力を求められます。
手順2:Playbookからの参照
暗号化されたファイル内の変数は、通常の変数と同様にPlaybookから参照可能です。
4. サンプルプログラム: 暗号化変数の利用例
以下は、暗号化されたDBパスワードを読み込み、タスク内で利用するサンプルです。
- hosts: all
vars_files:
- group_vars/all/vault.yml
tasks:
- name: DB接続設定の確認
debug:
msg: “パスワードは {{ db_password }} です(実際には表示に注意してください)”
- name: パスワードを用いた設定反映
shell: “echo {{ db_password }} > /tmp/db_secret.txt”
# 注意: 実行ログにパスワードが残らないよう no_log: true を推奨します
no_log: true
5. 応用・注意点: 現場で陥りやすい罠
実務で運用する際は、以下の点に注意してください。
パスワード管理の自動化:
毎回手動でパスワードを入力するのはCI/CD環境では不可能です。環境変数や外部の秘密情報管理サービス(HashiCorp Vaultなど)と連携し、パスワードファイルを指定するオプション(–vault-password-file)を活用しましょう。
no_log: true の徹底:
Ansibleは実行結果をログに出力しますが、機密情報が含まれるタスクには必ず no_log: true を付与してください。これを忘れると、ログファイルに復号されたパスワードが平文で残ってしまいます。
git diffの確認:
暗号化されたファイルはバイナリに近い形式になるため、差分管理が困難です。機密情報は「できるだけ小さな単位(ファイル)」で分割し、管理を簡素化するのが運用のコツです。
コメント