シェル履歴に秘密が表示されないというセキュリティ要件を満たさないコマンドは、B. vault kv put secret/password value-itsasecretである。このコマンドは、"itsasecret "という秘密値をkey/value secretsエンジンのsecret/passwordというパスに格納しますが、同時にシェル履歴に秘密値を公開することになり、他のユーザや悪意のある行為者によってアクセスされる可能性があります。これは、Vaultに秘密を保存する安全な方法ではありません。
他のコマンドは、シェルの履歴で秘密を明らかにすることなく、より安全にVaultに秘密を保存する方法である。
generate-password | vault kv put secret/password valueは、パイプを使ってgenerate-passwordコマンドの出力をvault kv putコマンドに渡し、vault kv putコマンドはそのパスワードをsecret/passwordというパスにあるkey/value secretsエンジンに格納する。パスワードはシェルの履歴には表示されず、コマンドだけが表示される。
vault kv put secret/password [email protected] は@構文を使って、暗号化されているかファイル・パーミッションで保護されているdata.txtというファイルから秘密値を読み込み、key/value secretsエンジンのsecret/passwordというパスに格納する。ファイル名はシェル履歴に表示されるが、秘密値は表示されない。
D). vault kv put secret/password value-SSECRET_VALUE は、-S構文を使って、シェルセッションで設定・解除可能な環境変数SECRET_VALUEから秘密値を読み込み、key/value secretsエンジンのパスsecret/passwordに格納する。環境変数名はシェルの履歴に表示されるが、秘密値は表示されない。
参考までに：
[ライトシークレット｜ボールト｜HashiCorpデベロッパー] 検索結果を表示しています。

動的秘密は、Vaultによってオンデマンドで生成され、有効期限（TTL）に制限がある。動的秘密は暗号化され、一時的であることが多いため、管理者が使用されたすべてのパスワードを見ることができるわけではありません。動的秘密の利点は以下の通りです：
データベース、クラウドプロバイダー、SSH など、クレデンシャルを失効させる方法をネイティブに提供しないシステムをサポートする。Vault は、クレデンシャルが不要になったとき、またはリースの期限が切れたときに、クレデンシャルを失効させることができる。
クレデンシャルは短命であり、簡単にローテートまたは失効できるため、クレデンシャルの漏洩による損害を最小限に抑えることができる。クレデンシャルが侵害された場合、攻撃者がそのクレデンシャルが無効になる前に使用できる機会は限 られている。
Vaultは認証情報の生成と失効を自動的かつ安全に処理できるため、煩雑なパスワードローテーションツールや実務に取って代わる。これにより、秘密管理の運用上のオーバーヘッドと複雑さが軽減されます。

Vaultに存在する3つのポリシーは以下の通り：
管理者：このポリシーは、Vault内のすべてのシークレットと操作へのフルアクセスを許可します。Vault のすべての側面を管理する必要がある管理者またはオペレータが使用できます。
デフォルトで設定されています：このポリシーは、特定のポリシーが必要なものを除き、Vault のすべてのシークレットおよび操作へのアクセスを許可します。他のポリシーが一致しない場合の予備ポリシーとして使用できます。
トランジット：このポリシーは、トランジット・シークレット・エンジンへのアクセスのみを許可します。Vaultを使用してデータを暗号化または復号化する必要があるアプリケーションやサービスで使用できます。
これらのポリシーによって、組織は次のような有用なタスクを実行できるようになる：
トランジットエンジンを使用したデータの暗号化、復号化、リラッピングを1つのポリシーで行うことができます：このポリシーは、トランジットシークレットエンジンとデフォルトポリシーの両方へのアクセスを許可します。
暗号化されたデータを暗号化、復号化、リラップするためのトランジット暗号化キーを作成する：このポリシーは、256 ビットの AES 鍵を持つ AES-GCM またはその他のサポートされている鍵タイプを使用して、転送中のデータを暗号化および復号化するために使用されるトランジット・シークレット・エンジンとその関連鍵へのアクセスのみを許可します。
トランジットシークレットエンジンに関連するアクションで許可されるパーミッションの分離：このポリシーは、鍵の作成やリクエストのラップなど、トランジットシークレットエンジンに関連する特定のアクションのみにアクセスを許可します。Vaultの他の操作や秘密へのアクセスは許可しません。

ID グループは、共通の属性を持つエンティティの集まりである。ID グループには、グループのすべてのメンバに継承される 1 つ以上のポリシーが付加される。ID グループはサブグループを持つこともでき、サブグループはエンティティのサブセットの ポリシーと属性をさらに絞り込むことができる。
ID グループの使用例の 1 つは、エンティティの集合に同じポリシのセットを一貫して適用することで ある。たとえば、組織には、エンジニアリング、販売、マーケティングなど、異なるチームまたは部門 がある場合がある。各チームは、それぞれの業務に関連する秘密およびリソースへのアクセスを許可するポリシ ーを持つ、独自の ID グループを持つことができる。各チームに ID グループを作成することで、組織は、各チームに属するエンティティが Vault へのログインにどの認証方法を使用するかに関係なく、同じレベルのアクセ スと権限を持つことを保証できます。参照：アイデンティティ：エンティティとグループ｜Vault｜HashiCorp Developer｜vault_identity_group｜リソース｜hashhicorp/vault｜Terraform｜Terraform Registry

統合ストレージは、Raftベースのストレージバックエンドで、Vaultが外部ストレージシステムに依存することなく、内部でデータを保存することを可能にします。また、自動リーダー選出とフェイルオーバーにより、Vaultを高可用性モードで実行することができます。しかし、Integrated Storageは、ハードウェア障害、ネットワーク・パーティション、人為的エラーによるデータ損失や破損を免れません。そのため、スナップショット機能を使用して、Vaultデータを定期的またはオンデマンドでバックアップおよびリストアすることを推奨します。スナップショットとは、暗号化されたシークレット、構成、メタデータを含む Vault データ全体をポイント・イン・タイムでキャプチャしたものです。スナップショットは、vault operator raft snapshot コマンドまたは sys/storage/raft/snapshot API エンドポイントを使用して取得および復元できます。スナップショットは暗号化されており、unsealキーまたはリカバリキーのクォーラムを使用してのみリストアできます。スナップショットはポータブルでもあり、異なるVaultクラスタやストレージバックエンド間でデータを移行するために使用できます。参照： https://developer.hashicorp.com/vault/docs/concepts/integrated-storage1, https://developer.hashicorp.com/vault/docs/commands/operator/raft/snapshot2, https://developer.hashicorp.com/vault/api-docs/system/storage/raft/snapshot3

この記述は正しい。authメソッドが無効になると、そのメソッドで認証されたすべてのユーザーがアクセスを失う。これは、認証メソッドが無効になると、認証メソッドによって発行されたトークンが自動的に取り消されるためです。このため、ユーザは失効したトークンを使用して Vault 内で操作を行うことができません。アクセスを回復するには、ユーザは、有効化され、適切なポリシーが付加された別の認証メソッドを使用して、再度認証を行う必要があります。参照Auth Methods｜Vault｜HashiCorp開発者、auth disable - Command｜Vault｜HashiCorp開発者

独自の内部認証局を構築するために使用できる Vault 秘密エンジンは、PKI 秘密エンジンです。PKI 秘密エンジンは、秘密鍵や CSR を生成し、CA に提出し、検証や署名を待つという手作業のプロセスを必要とせず、動的な X.509 証明書をオンデマンドで生成します。PKIシークレット・エンジンは、ルートCAまたは中間CAとして機能し、TLS、コード署名、電子メール暗号化など、さまざまな目的の証明書を発行できる。PKI 秘密エンジンは、ローテーション、失効、更新、CRL 生成など、証明書のライフサイクルも管理できる。PKI 秘密エンジンは、Venafi や Entrust などの外部 CA と統合して、証明書の発行と管理を委 託することもできる。参照：PKI - シークレットエンジン｜Vault｜HashiCorp Developer、独自の認証局(CA)を構築｜Vault - HashiCorp Learn

ポリシーコードに無効なケイパビリティ "write "が含まれているため、エラーが発生しました。ポリシーの有効なケイパビリティは、"create"、"read"、"update"、"delete"、"list"、"sudo "です。write "ケイパビリティはVaultによって認識されないので、"create "に置き換えるべきである。ワイルドカード(*)とsudoケイパビリティはどちらもポリシーで有効であるため、他の記述は正しくありません。ワイルドカードはパスセグメント内の任意の数の文字にマッチし、sudoケイパビリティはroot権限を必要とする特定の操作の実行を許可します。
参考までに：
[ポリシーシンタックス｜Vault｜HashiCorpデベロッパー]。
[ポリシーシンタックス｜Vault｜HashiCorpデベロッパー]。

このファイルには、1つのキー "plaintext "と、暗号化されるデータのbase64エンコード文字列である値を持つJSONオブジェクトが含まれている。これは、Vault API が transit encrypt endpoint1 に期待する形式である。他のファイルは、間違ったキー名、間違った値形式、または間違ったJSON構文を持っているため、正しくありません。
参考までに：
データの暗号化 - トランジット・シークレット・エンジン｜Vault｜HashiCorp Developer

このスクリーンショットは、GUIで認証方法を有効にしている場合に表示されます。認証方法は、ユーザやアプリケーションがVaultで認証する方法です。Vaultは、ユーザ名とパスワード、GitHubなど、様々な認証方法をサポートしています。3つのカテゴリに分けられたオプションのグリッドから、1つ以上の認証方法を有効にすることができます：Generic、Cloud、Infraの3つのカテゴリーに分かれています。各オプションには、名前、説明、ロゴがあります。Vault CLIまたはAPIを使用して認証方法を有効にすることもできます。
ポリシー、認証エンジン、およびシークレットエンジンの有効化は、このスクリーンショットとは関係ない別のタスクです。ポリシーは、秘密、認証方法、監査デバイスなど、Vaultリソースへのアクセスを管理するルールです。認証エンジンは、認証を実行し、認証されたエンティティにポリシーを割り当てるVaultのコンポーネントです。秘密エンジンは、データの保存、生成、暗号化を行う Vault のコンポーネントです。これらのタスクには、スクリーンショットとは異なる GUI ページとオプションがあります。
参考までに：
[認証｜保管庫｜HashiCorpデベロッパー]。
[ポリシー｜ボールト｜HashiCorpデベロッパー] 検索結果を表示しています。
[認証｜保管庫｜HashiCorpデベロッパー]。
[シークレットエンジン｜ボールト｜HashiCorpデベロッパー] 検索結果を表示しています。

Vault Agentは、以下の機能を提供するクライアント・デーモンである：
Auto-Auth - Vaultへの認証を自動的に行い、ローカルに取得された動的シークレットのトークン更新プロセスを管理します。
API Proxy - Vault AgentがVaultのAPIのプロキシとして動作することを許可し、オプションでAuto-Authトークンを使用（または強制）します。
キャッシュ - 新しく作成されたトークンを含むレスポンスと、これらの新しく作成されたトークンから生成されたリースされたシークレットを含むレスポンスのクライアント側でのキャッシュを可能にする。エージェントは、キャッシュされたトークンとリースの更新も管理します。
Templating - Auto-Authステップで生成されたトークンを使用して、Vault Agentによるユーザ提供テンプレートのレンダリングを許可します。
Process Supervisor Mode - 環境変数として注入されたVaultの秘密を使って子プロセスを実行します。
Vault Agent を使用する利点の 1 つは、キャッシュされたトークンとリースのライフサイクルを自動的に 管理することです。これは、エージェントがトークンの更新と失効ロジックを処理し、エージェントがキャッシュするシークレットのリース更新と失効ロジックも処理することを意味します。これにより、アプリケーション開発者とオペレータの負担が軽減され、トークンとシークレットが常に有効で最新であることが保証されます。参照Vaultエージェント｜Vault｜HashiCorp Developer、キャッシュ - Vaultエージェント｜Vault｜HashiCorp Developer

Vault シールの構成は、Vault 構成ファイルと環境変数の 2 つの方法で設定できます。Vault 構成ファイルは、ストレージ・バックエンド、リスナー、テレメトリ、シールなど、Vault の設定とオプションを含むテキスト・ファイルです。設定ファイルのシール・スタンザは、シールの種類と、HSMやクラウドKMSソリューションを使用してルート鍵を暗号化・復号化するなど、追加のデータ保護に使用するパラメータを指定する。シール構成は環境変数で設定することもでき、環境変数は構成ファイルの値よりも優先される。環境変数の先頭にはVAULT_SEAL_が付き、その後にシールの種類とパラメータ名が続きます。例えば、VAULT_SEAL_AWSKMS_REGION は AWS KMS シールのリージョンを設定します。参照：参照：Seals - Configuration | Vault | HashiCorp Developer、Environment Variables | Vault | HashiCorp Developer

Vault トークンの詳細を見るとき、policy キーは、トークンがアクセスできるパスを見つけるのに役立ちます。ポリシーは、Vault内の特定のパスや操作へのアクセスを許可または禁止する宣言的な方法です。ポリシーはHCLまたはJSONで記述され、トークンに名前でアタッチされます。ポリシーはデフォルトで拒否されるため、空のポリシーはシステム内で何の権限も付与しません。トークンは1つまたは複数のポリシーを関連付けることができ、有効なポリシーはすべての個々のポリシーの結合です。トークンの詳細を表示するには、vault token lookup コマンドまたは auth/token/lookup API エンドポイントを使用します。出力には、トークンにアタッチされているポリシー名のリストとともにポリシーキーが表示されます。vault policy read コマンドまたは sys/policy API エンドポイントを使用して、ポリシーの内容を表示することもできます。出力には、ポリシーの HCL または JSON 表現を持つルールキーが表示されます。ルールは、パスと、ポリシーが許可または拒否する機能（作成、読み取り、更新、削除、リストなど）を指定します。参照: https://developer.hashicorp.com/vault/docs/concepts/policies4, https://developer.hashicorp.com/vault/docs/commands/token/lookup5, https://developer.hashicorp.com/vault/api-docs/auth/token#lookup-a-token6, https://developer.hashicorp.com/vault/docs/commands/policy/read7, https://developer.hashicorp.com/vault/api-docs/system/policy8

バッチ・トークンは、Vaultのストレージ・バックエンドに永続化されないトークンの一種で、Vaultのアクションを実行するのに十分な情報を運ぶ暗号化されたブロブです。バッチ・トークンは非常に軽量でスケーラブルであり、トークン生成のスループットを向上させることができます。バッチトークンは、コンテナやサーバーレス機能など、短命で更新不可能なトークンを必要とする大容量かつ刹那的なワークロードに適しています。バッチ トークンは、vault トークン作成コマンドで -type=batch フラグを使用するか、認証メソッドの role または mount オプションで token_type パラメータを構成することで作成できます。バッチ・トークンには、サービス・トークンと比較して、更新、失効、リスト、アクセサー、キュービーホールの機能がないなど、いくつかの制限があります。そのため、バッチトークンはトレードオフが許容できる場合にのみ、注意して使用する必要があります。参考文献： https://developer.hashicorp.com/vault/tutorials/tokens/batch-tokens1, https://developer.hashicorp.com/vault/docs/commands/token/create2, https://developer.hashicorp.com/vault/docs/concepts/tokens#token-types3

環境変数VAULT_ADDRは、CLIのデフォルトのVaultサーバ・アドレスを上書きします。VAULT_ADDR環境変数は、他のアプリケーションやプロセスからVaultと通信するために使用されるVaultサーバのアドレスを指定します。この変数を設定することで、コードや設定ファイルにVaultサーバのアドレスをハードコードすることを避けることができ、環境やシナリオごとに異なるアドレスを使用することもできます。例えば、テスト用にローカルの開発サーバを使用し、アプリケーションのデプロイ用に本番サーバを使用することができます。参照コマンド（CLI）｜Vault｜HashiCorp Developer、Vault Agent - 環境変数としての秘密｜Vault｜HashiCorp Developer

vault lease renewコマンドは、リースの終了時刻ではなく、現在時刻からリース時間をインクリメントします。これは、ユーザがリースの残り時間（インクリメントと呼ばれる）を指定できることを意味します。これは、現在のTTLの終了時の増分ではなく、現在の時刻からの増分です。例えば、vault lease renew -increment=3600 my-lease-idは、リースのTTLを今から1時間（3600秒）に調整するよう要求します。インクリメントをリースの終了時刻ではなく現在時刻にルーティングすることで、ユーザーが実際に可能なリース期間すべてにわたってクレデンシャルを必要としない場合、リースの長さを短くすることが容易になり、クレデンシャルの有効期限が早くなり、リソースを早くクリーンアップできるようになります。要求されたインクリメントは完全に任意である。シークレットを担当するバックエンドは、それを完全に無視することを選択できる1。参照：
リース、更新、失効｜Vault｜HashiCorp Developer

Vault ポリシーは HCL または JSON 形式で記述され、トークンまたはロールに名前でアタッチされます。ポリシーは、Vault内の特定のパスやシークレットにアクセスし、操作を実行するための権限と制限を定義します。ポリシーはデフォルトで拒否されます。つまり、空のポリシーはシステム内で何の許可も与えず、ポリシーによって明示的に許可されていないリクエストは暗黙的に拒否されます1。Vault ポリシーの機能と利点には、以下のようなものがあります：
ポリシーはパスベースです。つまり、リクエストパスと、作成、読み込み、 更新、削除、リスト、sudoなどの許可または拒否される機能を指定するルールの セットをマッチさせます2。
ポリシーは加算型であり、トークンやロールに複数のポリシーが付加されている場合、有効なポリシーは個々のポリシーの和となる。コンフリクトがある場合は、最も寛容なケイパビリティが付与される3。
ポリシーは、* や + などのグロブパターンを使用して、1 つのルールで複数のパス またはセグメントに一致させることができます。例えば、パス "secret/*"は、secret/で始まるすべてのパスにマッチし、パス "secret/+/config "は、secret/の後に2つのセグメントがあり、config4で終わるすべてのパスにマッチします。
ポリシーは、ID情報、時間、ランダム性など、特定の値をルールに補間するた めにテンプレート化を使用できる。例えば、パス "secret/{{identity.entity.id}}/*"は、secret/で始まり、リクエスタ5 のエンティティIDが続くすべてのパスにマッチする。
ポリシーは、vault ポリシーコマンドまたは sys/policy API エンドポイントを使用して管理できます。これらのインタフェースを使用して、ポリシーの書き込み、読み取り、一覧表示、および削除を行うことができます6。
デフォルトのポリシーは、デフォルトですべてのトークンにアタッチされ、削除できない組み込みポリシーです。ただし、デフォルトポリシーは、vault policy write コマンドまたは sys/policy API エンドポイントを使用して変更できます。デフォルトポリシーは、トークンの更新、トークン自身の情報の検索、レスポンスラッピングトークンの作成と管理など、トークンに共通の権限を提供します7。
Vault は HCL と JSON フォーマットの両方をサポートしているため、ポリシーを定義するために YAML を使用する必要はありません。HCL は人間にとって使いやすい設定言語で、JSON とも互換性があるため、JSON もポリシーの有効な入力として使用できます8。
ポリシーはメモリに保存され評価されるため、ポリシーの変更を有効にするためにVaultを再起動する必要はありません。ポリシーの変更は即座にシステムに反映され、そのポリシーがアタッチされているトークンやロールは変更の影響を受けます。

VaultはCIDRバインドトークンをサポートしています。これは、特定のIPアドレスまたはネットワーク範囲のセットからのみ使用できるトークンです。これは、万が一トークンが漏洩した場合に備えて、トークンの使用範囲と公開範囲を制限する方法です。CIDRバウンドトークンは、トークンのロールを作成または更新するときにbound_cidr_listパラメータを指定するか、vault token createコマンドを使用してトークンを作成するときに-bound-cidrオプションを使用して作成できます。CIDRバインドトークンは、AWSやKubernetesなど、トークンをクライアントのソースIPまたはネットワークに自動的にバインドできる一部の認証方法でも作成できます。参照：トークン - 認証方法｜Vault｜HashiCorp Developer、vaultトークン作成 - コマンド｜Vault｜HashiCorp Developer

Google Cloud Secrets Engineは、DevOpsチームがCICDパイプラインを介してGCPにVMをプロビジョニングし、Vaultを統合してツールが使用する認証情報を保護するための最良のオプションです。Google Cloud Secrets Engineは、IAMポリシーに基づいてGCPサービスアカウントキーまたはOAuthトークンを動的に生成し、CICDツールがGCPリソースにアクセスするための認証と認可に使用できます。認証情報は、使用されなくなったときやリースの有効期限が切れたときに自動的に無効化されるため、認証情報は短命で安全です。DevOpsチームは、Vaultでロールセットまたは静的アカウントを構成して、資格情報のスコープと権限を定義し、Vault APIまたはCLIを使用して資格情報をオンデマンドで要求できます。Google Cloud Secrets Engine は、なりすましサービスアカウント用のアクセストークンの生成もサポートしており、キーを保存または管理せずに他のサービスアカウントへのアクセスを委譲するのに便利です1。
Identity Secrets Engine は、GCP クレデンシャルを生成するのではなく、他の Vault Secrets Engine やネームスペースにアクセスするために使用できる ID トークンを生成するためである2。Key/Value Secrets Engine バージョン 2 も、動的なクレデンシャルを生成するのではなく、ユーザが提供する静的なシークレットを保存および管理するため、良い選択肢ではありません3。SSHシークレットエンジンも、GCPクレデンシャルを生成するのではなく、SSH経由でリモートホストにアクセスするために使用できるSSHキーまたはOTPを生成するため、良い選択肢とは言えない4。
参考までに：
Google Cloud - シークレットエンジン｜Vault｜HashiCorp Developer
アイデンティティ - シークレット・エンジン｜Vault｜HashiCorp Developer
KV - シークレットエンジン｜Vault｜HashiCorp Developer
SSH - シークレットエンジン｜Vault｜HashiCorp Developer