ローテーションスケジュールについて

このトピックでは、シークレットのローテーションのコンセプトを紹介します。始める前に、プラットフォームの概要を確認して、Google Cloud の全体像を把握することをおすすめします。Secret Manager プロダクトの概要もお読みください。

はじめに

定期的なローテーションは、次の作業に役立ちます。

シークレットの漏洩が発生した場合の影響を制限する。
シークレットへのアクセスが不要になった個人は、古いシークレット値を使用できません。
ローテーションフローを継続的に実施し、緊急ローテーションが発生した場合の停止の可能性を軽減する。

Secret Manager には、シークレット、シークレットバージョン、ローテーションスケジュールのコンセプトがあります。これは、ローテーションされたシークレットをサポートするワークロードを構築するための基盤となります。

このトピックでは、Secret Manager に保存されているシークレットのローテーションに関する推奨事項を示します。次のセクションでは、次のメリットとトレードオフについて説明します。

シークレットバージョンをアプリケーションにバインドする方法。
シークレットをローテーションする手法。

シークレットバージョンへのバインディング

Secret Manager のシークレットは、複数のシークレットバージョンを持つことができます。シークレットバージョンには不変のペイロード（実際のシークレットのバイト文字列）が含まれ、順序と番号が付けられます。シークレットをローテーションするには、既存のシークレットに新しいシークレットバージョンを追加します。

シークレットに最近追加されたシークレットバージョンは、latest エイリアスを使用して参照できます。latest エイリアスは、開発には便利ですが、本番環境ワークロードで問題になる可能性があります。これは、不正な値がすぐにロールアウトされ、サービス全体の停止につながる可能性があるためです。次のシナリオでは、シークレットバージョンへのバインディングの代替方法について説明します。

段階的なロールアウト

段階的なロールアウトは、以下のシナリオの指針になります。シークレットのロールアウトをより遅くすることで、破損のリスクを低減できますが、復旧にかかる時間もより遅くなります。一部のシークレットは、外部システム（有効なシークレット値を追跡する API やデータベースなど）で無効になる可能性があります。これらの外部システムは、ロールアウトが必要な場合に、自分で制御と復元ができる場合とできない場合があります。

手動または自動のローテーション中に不正なシークレットがロールアウトされる可能性があります。強力なローテーションワークフローでは、破損（HTTP エラー率など）を自動的に検出し、（以前の構成のデプロイによって）古いシークレットバージョンを使用するようにロールバックできる必要があります。

新しいシークレットバージョンのロールアウトは、シークレットがアプリケーションにバインドされる方法によって異なります。

アプローチ 1: 既存のリリースプロセス中に解決する

シークレットバージョンを解決して、アプリケーションのリリースにバインドします。ほとんどのデプロイの場合、これには、最新のシークレットバージョンを完全なシークレットバージョンのリソース名に解決し、フラグとしてアプリケーションで、または構成ファイルでロールアウトすることが含まれます。ローテーション時にシークレットバージョンの名前を解決して、リソース名を耐久性のある場所（Git への commit など）に保存し、デプロイがブロックされるのを防ぐために、push 時にバージョン名をデプロイ構成に入れることをおすすめします。

アプリケーションの起動時に、特定のシークレットバージョン名で Secret Manager を呼び出して、シークレット値にアクセスします。

この方法には次のメリットがあります。

再起動後も同じシークレットバージョンが使用されるため、予測可能性が向上し、運用の複雑さが軽減されます。
ロールアウトとロールバックの既存のチェンジマネジメントプロセスを、シークレットのローテーションとシークレットバージョンのデプロイに再利用できます。
値を段階的にロールアウトして、不正な値のデプロイの影響を軽減できます。

注: デプロイ時に最新バージョンを解決すると、不正なシークレットバージョンが存在する場合はデプロイがブロックされます。ロールアウトの成功は、Secret Manager のシークレットバージョンの状態に依存するため、デプロイ時の問題の解決は、分離または再現性が低い場合があります。以前のシークレットバージョンが機能している場合は、同じ値を持つ新しいシークレットバージョンを作成し、ロールアウトされるのを待機します。これは、実質的には「ロールフォワード」であり、値を古いバージョンから新しいバージョンにコピーするにはシークレットの secretmanager.versions.access 権限が必要になります。

アプローチ 2: アプリケーションの起動時に解決する

アプリケーションの起動時に最新のシークレットペイロードを取得し、アプリケーションの存続期間中は、そのシークレットの使用を継続します。

このアプローチの利点は、シークレットバージョンの解決に CI/CD パイプラインを変更する必要がないことですが、不正なシークレットがロールアウトされると、インスタンスの再起動時やサービスのスケールアップ時にアプリケーションの起動に失敗し、サービス停止につながる可能性があります。

アプローチ 3: 継続的に解決する

アプリケーションで最新のシークレットバージョンに対して継続的にポーリングし、新しいシークレット値をすぐに使用します。

このアプローチでは、新しいシークレット値を段階的に採用しないため、サービス全体がすぐに停止するリスクがあります。

シークレットをローテーションする

シークレットを動的に更新できる場合（たとえば、シークレットを検証する外部システムが Admin API を提供する場合）は、定期的に実行するローテーションジョブを設定することをおすすめします。一般的な手順については、次のセクションでサンプルのコンピューティング環境として Cloud Run を使用して、概要を説明します

シークレットにローテーションスケジュールを構成する

シークレットのローテーションスケジュールを設定します。シークレットをローテーションするときに、通知を受け取るように、シークレットに Pub/Sub トピックを構成する必要があります。シークレットにトピックを構成するには、イベント通知のガイドをご覧ください。

Cloud Run を起動して新しいシークレットバージョンを作成する

ローテーション通知を受信してローテーション手順を実施するには、Cloud Run サービスを作成して構成します。

外部システム（データベース、API プロバイダなど）でシークレットを取得するか、新しいシークレットを作成します。

既存のワークロードが影響を受けないように、この操作によって既存のシークレットが無効化されないようにしてください。
新しいシークレットで Secret Manager を更新します。

Secret Manager で新しい SecretVersion を作成します。これにより、新しく作成された Secret を指すように latest エイリアスも更新されます。

再試行と同時実行

ローテーションプロセスはいつでも終了できるため、Cloud Run サービスはプロセスを中断した時点から再開できる（リエントラントである）必要があります。

失敗したローテーションまたは中断されたローテーションを再実行できるように、Pub/Sub で再試行を構成することをおすすめします。さらに、Cloud Run サービスで最大同時実行数と最大インスタンス数を構成して、同時ローテーション実行が相互に干渉する可能性を最小限に抑えます。

リエントラントなローテーションファンクションを構築するには、ローテーションプロセスを再開できるように状態を保存すると便利です。これに役立つ Secret Manager の機能が 2 つあります。

シークレットのラベルを使用して、ローテーション中に状態を保存します。シークレットにラベルを追加して、ローテーションワークフロー中の最後に正常に追加されたバージョン（例: ROTATING_TO_NEW_VERSION_NUMBER=3）の数を追跡します。ローテーションが完了したら、ローテーショントラッキングラベルを削除します。
ETag を使用して、ローテーションワークフロー中に他のプロセスによってシークレットが同時に変更されていないことを確認します。詳細については、シークレットとシークレットバージョンの ETag をご覧ください。

Identity and Access Management の権限

ローテーションプロセスには、新しいシークレットバージョンを追加するための secretmanager.versions.add 権限が必要です。また、以前のシークレットバージョンを読み取るには secretmanager.versions.access が必要になる場合があります。

デフォルトの Cloud Run サービスアカウントには編集者のロールがあります。このロールには、シークレットバージョンの追加権限が含まれていますが、アクセス権限はありません。最小権限の原則に沿って、デフォルトのサービスアカウントは使用しないことをおすすめします。代わりに、必要に応じて付与された Secret Manager のロール（1 つまたは複数でもかまいません）を使用して、Cloud Run サービスの個別のサービスアカウントを設定します。

roles/secretmanager.secretVersionAdder
roles/secretmanager.secretVersionManager
roles/secretmanager.secretAdmin
roles/secretmanager.secretAccessor

新しい `SecretVersion` をワークロードにロールアウトする

新しく有効な SecretVersion が外部システムに登録され、Secret Manager に保存されたので、アプリケーションにロールアウトします。このロールアウトは、シークレットバインディングへのアプローチによって異なります（シークレットバージョンへのバインディングを参照）。一般的には、手動での操作は必要ありません。

古いシークレットバージョンをクリーンアップする

すべてのアプリケーションで古いシークレットバージョンがローテーションされると、シークレットバージョンを安全にクリーンアップできます。クリーンアッププロセスはシークレットのタイプによって異なりますが、通常は以下のようになります。

新しいシークレットバージョンがすべてのアプリケーションに完全にロールアウトされていることを確認します。
Secret Manager の古いシークレットバージョンを無効にし、アプリケーションが破損していないことを確認します（無効の操作でコンシューマが破壊された場合、人が介入できるような合理的な時間待機します）。
外部システムから古いシークレットバージョンを削除または登録解除します。
Secret Manager で古いシークレットバージョンを破棄します。

次のステップ

シークレットのローテーションスケジュールを設定する方法を学習する。

ローテーション スケジュールについて