旧バージョンのドキュメントを参照しています。 最新のドキュメントはこちらをご参照ください。
シークレット管理
シークレットとは、APIゲートウェイの操作に必要な機密情報です。シークレットはプラグインで使用される可能性のあるコアKong Gateway構成の一部、またはゲートウェイによって処理されるAPIに関連する構成の一部である可能性があります。
Kong Gatewayで使用される最も一般的なシークレットのタイプには以下のものが含まれます。
- PostgreSQL および Redis で使用するデータストアのユーザー名とパスワード
- プライベートX.509証明書
- API キー
- 一般的に認証、ハッシュ化、署名、暗号化に使用される機密性の高いプラグイン構成フィールド。
Kong Gateway では、特定の値を vault に保存します。
機密情報をシークレットとして保存することで、kong.conf
、
宣言型構成ファイル、ログ、または Kong Manager UI など、プラットフォーム全体でプレーンテキストで
表示されないようにします。代わりに、
vault
リファレンスを使用して各シークレットを参照することができます。
たとえば、次のリファレンスは、環境変数MY_SECRET_POSTGRES_PASSWORD
を解決します。
{vault://env/my-secret-postgres-password}
上記の方法でシークレット管理が一元化されます。
参照可能な値
シークレットリファレンスは文字列値を指します。他のデータタイプは現在サポートされていません。
Vaultバックエンドでは、関連するシークレットをオブジェクト内に複数保存することができますが、参照が指すのは常に文字列値に変換されるキーです。 たとえば、次の参照があるとします。
{vault://hcv/pg/username}
HashiCorp Vault内のpg
と呼ばれるシークレットオブジェクトを指し、次の値を返す可能性があります。
{
"username": "john",
"password": "doe"
}
Kongはペイロードを受信し、{vault://hcv/pg/username}
の秘密参照の"john"
の
"username"
値を抽出します。
識別子「pg/username
」を単一の値とするシークレットがある場合、参照に/
をサフィックスとして追加し、Vault APIに適切に送信されるようにします。
{vault://hcv/pg/username/}
シークレットとして保存できるもの
ほとんどのKongの構成の値は、pg_user
やpg_password
などのシークレットとして保存できます。
デフォルトの証明書をVaultに保存することもできます。例:
SSL_CERT=$(cat cluster.crt) \
SSL_CERT_KEY=$(cat cluster.key) \
KONG_SSL_CERT={vault://env/ssl-cert} \
KONG_SSL_CERT_KEY={vault://env/ssl-cert-key} \
kong prepare
Kongライセンスは通常
KONG_LICENSE_DATA
環境変数で構成され、シークレットとして保存可能です。
Kong Admin API の証明書オブジェクトはシークレットとして保存できます。
参照可能なプラグインフィールド
一部のプラグインには、Vaultバックエンドにシークレットとして保存できる
フィールドがあります。これらのフィールドはreferenceable
とラベル付けされています。
以下のプラグインは特定のフィールドに対して Vault リファレンスをサポートしています。 各フィールドの詳細については、各プラグインのドキュメントを参照してください。
Plugin | Referenceable fields |
---|---|
ACME |
config.account_email
config.eab_kid
config.eab_hmac_key
config.storage_config.redis.auth
config.storage_config.consul.token
config.storage_config.vault.token
|
AWS Lambda |
config.aws_key
config.aws_secret
config.aws_assume_role_arn
|
Azure Functions |
config.apikey
config.clientid
|
Datadog |
config.host
|
Forward Proxy Advanced |
config.auth_username
config.auth_password
|
GraphQL Rate Limiting Advanced |
config.redis.username
config.redis.password
config.redis.sentinel_username
config.redis.sentinel_password
|
HTTP Log |
config.http_endpoint
config.headers
|
Kafka Log |
config.authentication.user
config.authentication.password
|
Kafka Upstream |
config.authentication.user
config.authentication.password
|
LDAP Authentication Advanced |
config.ldap_password
config.bind_dn
|
Loggly |
config.key
|
OAuth 2.0 Introspection |
config.authorization_value
|
OpenID Connect |
config.client_id
config.client_secret
config.client_jwk.k
config.client_jwk.d
config.client_jwk.p
config.client_jwk.q
config.client_jwk.dp
config.client_jwk.dq
config.client_jwk.qi
config.client_jwk.oth
config.client_jwk.r
config.client_jwk.t
config.login_redirect_uri
config.logout_redirect_uri
config.scopes
config.introspection_headers_values
config.session_secret
config.session_redis_username
config.session_redis_password
|
OpenTelemetry |
config.endpoint
config.headers
|
Proxy Caching Advanced |
config.redis.username
config.redis.password
config.redis.sentinel_username
config.redis.sentinel_password
|
Rate Limiting |
config.redis_password
config.redis_username
|
Rate Limiting Advanced |
config.redis.username
config.redis.password
config.redis.sentinel_username
config.redis.sentinel_password
|
Request Transformer Advanced |
config.rename.body
config.rename.headers
config.rename.querystring
config.replace.body
config.replace.headers
config.replace.querystring
config.add.body
config.add.headers
config.add.querystring
config.append.body
config.append.headers
config.append.querystring
|
Response Rate Limiting |
config.redis_password
config.redis_username
|
SAML |
config.idp_certificate
config.response_encryption_key
config.request_signing_key
config.request_signing_certificate
config.session_secret
config.session_redis_username
config.session_redis_password
|
Session |
config.secret
|
Note: The Vault plugin interacts with the
vaults
andvault_credentials
entities. For these entities, thevaults.vault_token
andvault_credentials.secret_token
parameters are referenceable.
サポートされているバックエンド
Kong Gatewayは以下の保管庫バックエンドをサポートしています:
- 環境変数
- AWS Secrets Manager
- GCP Secret Manager
- Azure Key Vault
- HashiCorp Vault
各オプションの詳細については、バックエンドの概要を参照してください。
使用開始
シークレット管理の詳細については、次のトピックを参照してください。