秘密ルール

ボールト・シークレットの使用を制御するルールを構成します。

ルールの構成または表示方法の詳細は、Vaultシークレットの管理を参照してください。シークレットを作成するとき、次のタイプのルールを構成できます:

• シークレット再利用ルール。このタイプのルールは、異なるバージョンのシークレットでシークレット・コンテンツを再利用することを禁止します。
• シークレット失効ルール。このタイプのルールは、特定のシークレット・バージョンのシークレット・コンテンツを連続して使用できる期間を制限します。このルールは、構成済の失効日を経過したシークレットまたはシークレット・バージョンのシークレット・コンテンツの取得をブロックすることもできます。

これらのシークレット・ルールのいずれかまたは両方を構成して、セキュリティに関するベスト・プラクティスの確立を目指します。ルールに準拠しないシークレット、または間もなくルールに違反する危険があるシークレット(失効ルールの場合)に対して処理を実行することにより、セキュリティ状態を改善できます。

シークレットは、その作成および格納場所としてのボールトを強化する、連邦情報処理規格(FIPS) 140-2セキュリティ・レベル3のセキュリティ証明書に準拠したハードウェア・セキュリティ・モジュール(HSM)の暗号化保証によって、保存時に保護されます。ただし、アプリケーション・メモリーに存在する間に、シークレットは危殆化されることがあります。複数のシークレット・バージョンによるシークレット・コンテンツの再利用を禁止することで、格納された資格証明に関連するセキュリティ違反が発生した場合に影響を受けるリソースの範囲を制限できます。1つのリソースのみがシークレット・バージョンのシークレット・コンテンツを使用する場合、影響を受ける可能性があるのはそのリソースのみです。シークレット・バージョンを非推奨にしてから、そのシークレット・コンテンツを安全に使用できなくなったとわかった時点で削除することができます。削除したシークレット・バージョンにもシークレット再利用ルールを適用するかどうかを選択できます。

同様に、失効ルールを構成してシークレット・バージョンの存続可能期間の時間範囲を指定すると、セキュリティ違反が発生した場合の影響を制限するのに役立ちます。資格証明セットの使用時間が長くなるほど、攻撃者がそのアクセスまたは解読を試みる時間が長くなります。新しいシークレット・コンテンツでシークレットを頻繁に更新すると、悪意のあるユーザーから資格証明を保護するのに役立ちます。また、少なくとも、危殆化された資格証明が知らないうちに使用または拡散される可能性のある期間が短くなります。シークレット・バージョンは1日から90日後に失効するように構成できますが、シークレットに作成日から1日から365日の範囲で絶対失効日時を設定することもできます。これらの値のいずれか一方または両方を構成できます。また、失効日を経過したシークレット・コンテンツをブロックするかどうかも決定できます。

シークレットの失効ルールのタイマーは、構成した間隔に基づいてリセットされます。シークレット・コンテンツを更新するメカニズムは存在しません。シークレット・バージョンは手動でローテーションする必要があります。