シークレットを環境にロードする
1Passwordマニュアル|アイテムの作成、削除、編集、取得方法を詳しく解説。安全に情報を管理するためのステップバイステップガイドです。
シークレットを環境にロードする
1Password CLIを使うと、シークレット参照を環境変数としてプロビジョニングして、さまざまな環境向けに複数の構成を作成するプロセスを簡素化できます。シークレット参照を使えば、構成設定を変更したり、コードに平文のシークレットを入力したりすることなく、 1Passwordでシークレットを編集できます。 環境変数をシークレット参照に設定したら、op runコマンドを使って、必要なシークレットを使いながらアプリをプロビジョニングできます。
最小特権の原則に従うために、1Password Service Accountsを使うことをお勧めします。サービス アカウントは、 1Password CLI を特定のVault(保管庫)に制限することをサポートしているため、承認されたターミナル セッションのプロセスは、特定の目的のために必要なアイテムにのみアクセスできます。
注意 コンピューター上のプロセスは、同じユーザーによって実行される他のプロセスの環境にアクセスできると考える必要があります。環境変数を通じてシークレットを提供する場合は、この点に注意してください。
必須条件
環境にシークレットをロードする前に、次のことを行う必要があります。
プロビジョニングするシークレットを1Passwordアカウントに保存する。
ステップ1:シークレット参照を取得する
シークレット参照はいくつかの方法で取得できます。
1Passwordデスクトップ アプリを使う場合:アプリから秘密の参照をコピーします。
1Password for VSCode を使う場合:コードを編集するときに 1Password から秘密の参照を挿入します。
1Password CLI を使う場合:op item getコマンドを使い1つまたは複数のフィールドのシークレット参照を取得します。
シークレット参照構文規則を使って、シークレット参照を手動で記述します。
ステップ2:シークレットをアプリケーションに渡す
必要なシークレットをアプリに配置するには、シークレット参照を適切な環境変数にマップし、op runコマンドを使ってシークレットをアプリケーションに渡します。
これを行うには2つの方法があります。
環境変数をエクスポートする
コマンドラインから環境変数を シークレット参照として個別にエクスポートできます。
①必要な環境変数をエクスポートします: Bash, Zsh, shの場合 $ export GITHUB_TOKEN=op://development/GitHub/credentials/personal_token
fishの場合 $ set -x GITHUB_TOKEN op://development/GitHub/credentials/personal_token PowerShellの場合 PS C:¥> $Env:GITHUB_TOKEN = "op://development/GitHub/credentials/personal_token"
②op run -- をアプリの起動コマンドをと一緒に使います:
op run -- gh
環境ファイル群(.env)を使う
Environment files allow you to define multiple (secret) environment KEY=VALUE環境ファイルを使うと、改行で区切られたステートメントを使用して複数の (秘密の) 環境変数を定義できます。これらのファイルの.env拡張子は .
環境ファイルをソース管理にチェックインして、どこでも同じ環境を使用できます。例えば、テスト シークレットに環境ファイルを使うと、シークレットを個別にプロビジョニングしなくても、ローカルと CI の両方でテストを実行できます。
prod.env $ AWS_ACCESS_KEY_ID="op://development/aws/Access Keys/access_key_id" $ AWS_SECRET_ACCESS_KEY="op://development/aws/Access Keys/secret_access_key"
環境ファイルを使うには、op runコマンドで--env-fileフラグを使って環境ファイルへのパスを指定します。 $ op run --env-file="./prod.env" -- aws
環境ファイルの構文規則
.envのファイル解析エンジンは次の規則に従います。
環境変数は、改行で区切られたKEY=VALUEステートメント群として定義されます。
変数は、’または”で囲むと複数行に続けて書くことができます。
例: MY_VAR = "this is on the first line and this is on the second line"
空行はスキップされます。
#で始まる行はコメントとして扱われます。コメントはKEY=VALUEステートメントの後にインラインで配置することもできます。
空の値は空の文字列になります。例えば EMPTY= という文は環境変数EMPTYを空の文字列に設定します。
値が一重引用符または二重引用符で囲まれている場合、これらの引用符は評価された値には含まれません。したがってKEY="VALUE"、 とKEY='VALUE'は両方ともKEYとVALUEとして評価されます。
$VAR_NAMEまたはの出現は、${VAR_NAME}環境からのそれぞれの値に置き換えられます。
.envファイル内で定義された変数は、同じファイル内の後方で参照できます。
例: SOME_VAR = value OTHER_VAR = ${SOME_VAR}
特殊文字は\でエスケープできます。例えば、 MY_VAR = "\$SOME_VAR that is not actually replaced."
ではMY_VARは次の値になります。 $SOME_VAR that is not actually replaced.
内部引用符は維持されるため、JSON={"foo":"bar"}は、JSONと{"foo":"bar"}に評価されます。
変数は、一重引用符で囲まれた値では置き換えられません。そのためKEY='$SOME_VAR'は、KEYと$SOME_VARとに評価されます。
テンプレート構文が、シークレットをVALUEで注入するために使えます。KEYにはテンプレート変数のみを入れることができます。
テンプレート解析は.envファイル解析の後に実行されるため、前者を使用して後者を構築することはできません。
KEYとVALUEの両方のセグメントの先頭と末尾の空白は無視されるため、 KEY = VALUEはKEY=VALUEと同じように解析されます。
一重引用符と二重引用符で囲まれた値は先頭と末尾の空白が維持されるため、KEY=" some value "はKEYおよびsome valueと評価されます。
これらのファイルでは UTF-8エンコードを使う必要があります。
ステップ3:環境に合わせてシークレットセットを変える
環境ごとに異なるシークレットセットがある場合は、単一の環境ファイルを使って適切なシークレットをアプリケーションに渡すことができます。これを行うには、全環境で1Passwordシークレットを同じ方法で構成するようにしてください。 例: dev/mysql/passwordとprod/mysql/password 次に、環境ファイル内の各シークレットのVault名の代わりに、外部で設定された変数($VARIABLE_NAME)を含めます。これにより、各環境で使うシークレットのセットを指定できるようになります。
例えば、次の .env ファイルでは、$APP_ENV は外部で設定された環境変数です。
app.env $ MYSQL_DATABASE = "op://$APP_ENV/mysql/database" $ MYSQL_USERNAME = "op://$APP_ENV/mysql/username" $ MYSQL_PASSWORD = "op://$APP_ENV/mysql/password"
開発環境にアプリをデプロイするために、dev vaultからシークレットセットを使うには: Bash, Zsh, sh, fishの場合 $ APP_ENV=dev op run --env-file="./app.env" -- myapp deployop://development/GitHub/credentials/personal_token PowerShellの場合 ①$APP_ENV変数を設定します。 PS C:¥> $ENV:APP_ENV = "dev" ②op run -- を環境変数と一緒に使います。 PS C:¥> op run --env-file="./app.env" -- myapp deploy
次のステップ:本番環境で使う
アプリケーションが適切な構成でローカルで動作するようになったので、1Password CLIを1Password Connect Serverとともに使って、実稼働環境でシークレットをプロビジョニングできます。また、CIで1Password CLI を設定し、他の構成と一緒にシークレット参照を定義することもできます。
次の記事も参照してください。