機能 6: クラウドシークレットマネージャー統合 #

概要 #

Semaphore は現在、すべての認証情報を自身のデータベースに保存しています。クラウドプラットフォームを使用する組織は、実行時にクラウドプロバイダーのシークレット管理サービスからシークレットを直接取得する方法を必要としています。これにより、認証情報の重複を避け、既存のローテーションポリシーを活用できます。この機能は、AWS Secrets Manager および Azure Key Vault とのネイティブ統合を Enterprise 専用機能として追加します。

動機 #

• エンタープライズチームは、確立されたローテーションポリシー、アクセス制御、監査証跡を備えた AWS Secrets Manager または Azure Key Vault でシークレットを既に管理しています。これらの認証情報を Semaphore のデータベースに複製すると、同期がずれる可能性のある2つ目の信頼できる情報源が生まれます。
• クラウドプロバイダーでの認証情報のローテーションは Semaphore に自動的に伝播されません — ローテーションのたびに、影響を受けるすべてのキーストアエントリを手動で更新する必要があります。
• 規制産業におけるコンプライアンスおよびセキュリティポリシーでは、シークレットがクラウドプロバイダーの境界を離れたり、サードパーティのデータベースに保存されたりしないことが求められることがよくあります。
• Semaphore の組み込みキーストアには、クラウドシークレットマネージャーが標準で提供するアクセス制御、監査の粒度、ローテーション自動化機能がありません。

詳細仕様 #

Enterprise #

6.1 AWS Secrets Manager 統合 #

目標: AWS Secrets Manager から実行時にシークレットを取得し、チームが Semaphore のデータベースに認証情報を複製することなく、既存の AWS シークレットインフラストラクチャを活用できるようにします。

要件:

• 新しい外部シークレットバックエンドタイプ: aws_secrets_manager。
• 認証方法:
  • IAM ロール（EC2/ECS/EKS デプロイメントに推奨）— Semaphore に認証情報を保存しません。
  • アクセスキー + シークレットキー — Semaphore のキーストアに保存（暗号化）。
  • 外部 ID を使用した引き受けロール — クロスアカウントアクセス用。
• シークレットは ARN または名前 + オプションのバージョン/ステージで参照されます。
• field セレクターを使用した JSON 構造のシークレットのサポート。個別の値を抽出できます（例: {"username": "admin", "password": "..."} → password を抽出）。
• 自動シークレットローテーションのサポート — AWS がシークレットをローテーションすると、Semaphore は次のタスク実行時に新しい値を取得します。
• 設定モデル:

{
  "name": "Production AWS",
  "type": "aws_secrets_manager",
  "region": "us-east-1",
  "auth_method": "iam_role",
  "role_arn": "arn:aws:iam::123456789:role/semaphore-secrets",
  "external_id": "optional-external-id"
}

• キーストアエントリの参照:

{
  "type": "external",
  "backend": "aws_secrets_manager",
  "secret_name": "production/db_password",
  "field": "password",
  "aws_config_id": 1
}

関連イシュー: #2248

6.2 Azure Key Vault 統合 #

目標: Azure Key Vault から実行時にシークレットを取得し、Azure を使用する組織が Semaphore に保存せずに認証情報を一元管理およびローテーションできるようにします。

要件:

• 新しい外部シークレットバックエンドタイプ: azure_key_vault。
• 認証方法:
  • マネージド ID（Azure VM/AKS デプロイメントに推奨）— Semaphore に認証情報を保存しません。
  • クライアントシークレットを使用したサービスプリンシパル。
  • 証明書を使用したサービスプリンシパル。
• シークレットは vault URL + シークレット名 + オプションのバージョンで参照されます。
• vault からのシークレット、キー、証明書の取得をサポート。
• 自動シークレットローテーションのサポート — Azure がシークレットをローテーションすると、Semaphore は次のタスク実行時に新しい値を取得します。
• 設定モデル:

{
  "name": "Production Azure",
  "type": "azure_key_vault",
  "vault_url": "https://my-vault.vault.azure.net",
  "auth_method": "managed_identity",
  "tenant_id": "...",
  "client_id": "..."
}

• キーストアエントリの参照:

{
  "type": "external",
  "backend": "azure_key_vault",
  "secret_name": "db-password",
  "version": "latest",
  "azure_config_id": 1
}

関連イシュー: #2248, #3170

6.3 統一外部シークレット参照 #

目標: サポートされている任意のクラウドプロバイダーのシークレットを指す共通のキーストアエントリタイプを提供します。

要件:

• 新しいキーストアタイプ: “External Reference” — シークレット自体ではなく、シークレットへのポインター（例: AWS ARN、Azure vault URL + シークレット名）を保存します。
• タスク実行時に、Semaphore はクラウドプロバイダーの API を呼び出して参照を解決し、現在の値を取得します。
• 解決された値は Semaphore のデータベースに保存されません — タスク実行中のメモリ内にのみ存在します。
• クラウドシークレットマネージャーへの接続は、プロジェクトレベルまたはシステムレベルで設定されます（URL、認証方法、名前空間/プレフィックス）。
• UI は外部参照を識別可能なバッジ/アイコンとバックエンドタイプ（AWS/Azure）で表示します。
• 保存時のバリデーション: Semaphore は参照の解決を試み、シークレットにアクセスできない場合は警告を表示します（保存はブロックしません）。

6.4 シークレットキャッシュ #

目標: 解決済みのシークレットをメモリにキャッシュすることで、クラウドプロバイダーへの API 呼び出しを削減します。

要件:

• オプションの短期間メモリ内キャッシュ（設定可能な TTL、デフォルト 5 分）により、クラウドプロバイダーへの API 呼び出しを削減します。
• キャッシュはメモリ内のみで、Semaphore の再起動時に無効化されます。
• キャッシュはバックエンド設定 ID + シークレット参照をキーとするため、複数のテンプレートで使用される同じシークレットは TTL ウィンドウごとに1回だけ取得されます。
• キャッシュはバックエンド設定ごとに無効化できます（TTL を 0 に設定）。常に最新の値を取得する必要があるシークレット（例: アクティブなローテーション中）に使用します。
• 設定: バックエンド設定の cache_ttl フィールド（例: "cache_ttl": "5m"）。

データベーススキーマの変更 #

新しいテーブル:

• secret_backend — クラウドプロバイダーの設定を保存（project_id, type, name, config JSON, created_at, updated_at）

変更されるテーブル:

• access_key — カラムの追加:
  • external_backend_id (integer, nullable, FK to secret_backend) — クラウドプロバイダー設定へのリンク
  • external_reference (JSON, nullable) — シークレットポインターを保存（ARN, vault URL, シークレット名, field, バージョン）

API Endpoints #

• GET/POST /api/project/{id}/secret-backends — バックエンド設定の一覧/作成
• PUT/DELETE /api/project/{id}/secret-backends/{backend_id} — バックエンドの更新/削除
• POST /api/project/{id}/secret-backends/{backend_id}/test — 接続性と認証のテスト
• POST /api/project/{id}/secret-backends/{backend_id}/resolve — シークレット参照の解決（バリデーション用）

設定 #

新しい設定オプション:

Key	Env Var	Default	説明
secret_cache_ttl	SEMAPHORE_SECRET_CACHE_TTL	5m	解決済み外部シークレットのデフォルトのメモリ内キャッシュ TTL
secret_resolve_timeout	SEMAPHORE_SECRET_RESOLVE_TIMEOUT	10s	シークレット解決時のクラウドプロバイダー API レスポンスの最大待機時間

You might also like