Vault

Security

シークレット、動的認証情報、暗号化の管理 — NeotaskはOpenClaw経由でHashiCorp Vaultの操作を処理します。

できること

シークレットエンジン操作

KV、PKI、AWS、データベース、その他のシークレットエンジンからシークレットの読み書きを行います。Neotaskがあなたの説明に基づいて正しいVaultパスとAPI呼び出しを構築します。

動的クレデンシャル生成

Vaultの動的シークレットエンジンから、短命のデータベースパスワード、AWS IAMキー、またはGCPサービスアカウントトークンを要求します。クレデンシャルはスコープが限定され、時間制限があり、セキュアなコンテキスト外には保存されません。

ポリシー管理

VaultのHCLポリシーを作成、更新、レビューします。付与または制限したいアクセスパターンを説明すれば、Neotaskがポリシーを起草し、レビュー後に適用します。

トークンと認証メソッド管理

Vaultトークンの作成と失効、AppRoleクレデンシャルの管理、トークンTTLのレビュー。アクティブなリースの一覧表示と期限切れが近いトークンの特定で、障害を未然に防ぎます。

監査ログレビュー

Vault監査ログをクエリして、誰がどのシークレットにいつアクセスしたかを追跡します。異常なアクセスパターン、認証失敗の試行、ポリシー違反を自然な会話から特定します。

質問例

  • "Vaultのsecret/prod/postgresからデータベースクレデンシャルを読み取って"
  • "S3読み取り専用アクセスの動的AWS IAMキーを1時間で生成して"
  • "secret/data/app/*の読み取りは許可するが書き込みは許可しないVaultポリシーを作成して"
  • "Vault内のすべてのアクティブなリースをリストアップし、24時間以内に期限切れのものをフラグして"
  • "本番MySQL データベースシークレットエンジンのルートクレデンシャルをローテーションして"
  • "過去48時間にsecret/prod/api-keysパスにアクセスしたのは誰?"
  • "パス'internal/'にKV v2シークレットエンジンを有効化して"
  • "アクセサーabc123xyzのVaultトークンを失効させて"

    • プロのヒント

  • 可能な限り静的シークレットの代わりに動的シークレットを使用 — Neotaskがジョブごとに新しいクレデンシャルを要求し、リース期限切れ時にVaultが自動的に失効させます
  • Neotaskに内部サービス間TLS用のPKI証明書をVaultから生成させましょう — 手動の証明書管理は不要です
  • Vaultポリシーを四半期ごとにレビュー:すべてのポリシーとそれが関連付けられている認証メソッドの要約を依頼しましょう
  • マルチテナント分離にはVault名前空間を使用 — Neotaskがすべての操作を正しい名前空間に自動的にスコープできます
  • 動的クレデンシャルのデフォルトTTLは短く設定(15-30分)し、ジョブが明示的に必要とする場合のみVaultのリース更新を使用しましょう

    • Works Well With