HashiCorpはVault 1.6をリリースし、シークレット・ID管理プラットフォームに多くの新機能を導入した。クラウドオートジョインは、以前にリリースされた統合ストレージ機能に基づいて構築されており、新しいVaultノードをクラスターに自動的に接続するできるようにするものである。トランスフォームシークレットエンジンでは、Vaultの外部に保存されているデータをより安全に扱うためにトークン化をサポートするようになった。他には、クラウドプロバイダーの主要な管理サービスとの統合やシール移行のサポートが追加されている。
統合ストレージはバージョン1.2でVaultに導入された。これにより、Vault管理者は、外部ストレージバックエンドを活用するのではなく、Vaultの永続データに対して内部ストレージオプションを設定できる。統合ストレージでは、データをVaultサーバのファイルシステムに保持し、コンセンサスプロトコルを利用して、クラスター内の各サーバを同期する。新しいクラウドオートジョイン機能を使用すると、構成ファイルまたはAPIを介してノードをクラスターに自動的に参加させることができる。
設定として、クラウドプロバイダーの特定の構成を入力として受け取る新しいauto_joinプロパティを使用できる。これを有効にすると、Vaultは潜在的なリーダーアドレスの検出と解決を試みる(リーダーIPアドレスの詳細な知識を必要とするleader_api_addr設定とは異なる)。たとえば、AWSでは、EC2を利用するときに、EC2インスタンスのタグを介してauto_joinを有効にすることができる。
storage "raft" {
path = "/vault/vault_4"
node_id = "vault_4"
retry_join {
auto_join = "provider=aws addr_type=public_v4 tag_key=cluster_name tag_value=raft-test region=us-east-1"
auto_join_scheme = "http"
}
}
auto_joinのフォーマットの詳細については、go-discover READMEを参照してください。デフォルトでは、Vaultは検出にHTTPSでポート8200を使用する。これらは、それぞれauto_join_schemeフィールドとauto_join_portフィールドを使用して上書きできる。
Vaultエンタープライズ内で、Vaultストレージのスナップショットをスケジュールできるようになった。デフォルトでは、スナップショットはローカルのraft-backupという名前のディレクトリに保存されるが、スナップショットをリモートストレージサービスにプッシュすることもできる。最大5つのスナップショットをローカルに保持できる。各スナップショットには1GBのデータ領域が必要となる。24時間ごとにスナップショットを取得する設定をセットアップするには、次のCLIコマンドを利用できる。
vault write sys/storage/raft/snapshot-auto/config/daily interval="24h" retain=5 path_prefix="raft-backup" storage_type="local" local_max_space=1073741824
トークン化のサポートは、高度なデータ保護モジュールを備えたVaultエンタープライズ向けに技術プレビュー版として追加された。トークン化を使用して、機密データを、元の値とは完全に異なる一意の不可逆的な値に置き換えることができる。このリリースには、データマスキング変換とフォーマット保存暗号化(FPE)の設定をアシストする新しい変換Web UIも含まれている。
Vaultのエンタープライズエディション向けの技術プレビュー版では、また、キー管理シークレットエンジンにより、パブリッククラウドプロバイダーのキー管理サービス(KMS)へのキーに対する管理と配布が簡素化される。リリース時点では、AzureのKey Vaultのみがサポートされている。このサービスは、顧客が提供したキーに特化したキーの書き込み、読み取り、更新、ローテーションなどのライフサイクル操作を自動化するように設計されている。
このリリースでの変更の詳細については、リリース投稿および変更ログを参照してください。アップグレードガイドは、既存のクラスターをアップグレードするプロセスをアシストするために利用できる。Vaultは、オープンソースとエンタープライズエディションのどちらでも利用できる。