ApidogのVault Secret利用

TIP

Vault SecretsはApidog Enterpriseプランで利用可能。

Apidogを使用する際、HashiCorp Vault、Azure Key Vault、AWS Secrets Managerなどの外部Vaultからシークレットを取得し、リクエスト送信時にグローバル変数のように使用できる。

管理者はチームやプロジェクトの外部Vaultとの連携を設定でき、その後ユーザーはOAuth2.0でログインするか、自身のアクセストークンを入力するだけで外部Vaultからシークレットを取得できる。

取得したシークレットはローカルクライアントで暗号化して保存され、プライバシーが保護され、他者と共有されることはない。

Vaultプロバイダーの設定

チームリソースページで、チーム用に複数のVaultプロバイダーを設定できる。各プロバイダーは要件に基づいて異なるプロジェクトに割り当てることができる。

プロジェクト内で、そのプロジェクト専用のVaultプロバイダーをカスタマイズするか、チームレベルで設定されたプロバイダーを使用するかを選択できる。

詳細はこちら：

プロジェクトの右上にある環境メニューの横のボタンをクリックし、Vault Secretsを選択する。

value入力ボックスで、外部Vaultに保存されているシークレットのメタデータ（エンジン、パス、キーなど）を設定する。必要なメタデータはVaultプロバイダーによって異なる。

Fetch Secretsをクリックしてシークレットを取得すると、ローカルクライアントで安全に暗号化して保存される。

シークレットは変数がサポートされているあらゆるコンテキストで使用でき、{{vault:key}}という構文に従う。

スクリプト内では、await pm.vault.get("key")を使用してシークレットの値を取得できる。console.logで値を出力する場合、値はマスクされる。

シークレットの値は決してチームメンバーと共有されない。ただし、再設定の手間を省くため、変数名とメタデータは共有される。チームメンバーは適切な認証を使用してシークレットを取得でき、コラボレーションとプライバシーのバランスが保たれる。

シークレットの安全な保存：VaultはAPIキー、パスワード、証明書、トークンなどの機密情報を安全に保存する方法を提供し、不正アクセスから保護する。

アクセス制御：Vaultは厳格なアクセス制御ポリシーを定義でき、特定のシークレットへのアクセスを許可されたユーザーやサービスのみに制限できる。

暗号化：Vaultは保存時と転送時の両方でデータを保護する組み込みの暗号化を提供し、セキュリティの層を追加する。

監査とモニタリング：Vaultは誰がどのシークレットにいつアクセスしたかを追跡する監査とモニタリング機能を提供する。これはコンプライアンスと不正アクセスの試みの検出に役立つ。

他のサービスとの統合：Vaultは他のクラウドサービス（Apidogを含む）やDevOpsツールとシームレスに統合するように設計されており、様々な環境でシークレットを簡単に管理できる。

一元管理：Vaultは異なるアプリケーション、サービス、環境全体でシークレットを一元的に管理する方法を提供し、シークレット管理に関連するオーバーヘッドを簡素化する。

リスク軽減：認証情報がアプリケーションにハードコードされたり、ソースコードに漏洩したりする可能性を減らすことで、認証情報の露出リスクを軽減する。

シークレットがHashiCorp Vault、Azure Key Vault、またはAWS Secrets Managerに既に保存されていること。

組織またはチームがApidog Enterpriseプランに加入していること。