シークレット参照の構文

シークレット参照 URI は、情報がSaveされている保管庫、アイテム、セクション、フィールドの名前を使用して、1Password アカウント内でシークレットがSaveされている場所を指します。

$ op://<vault-name>/<item-name>/[section-name/]<field-name>

シークレット参照により、コード内のプレーンテキストのシークレットが公開されるリスクがなくなり、1Password アカウントに加えた変更が反映されるため、スクリプトを実行すると最新の値が得られます。

シークレット参照は次の場合に使用できます。

シークレット参照

1Passwordデスクトップアプリ

1Password デスクトップ アプリでシークレット参照をコピーするオプションを表示するには、まずオンにします。次に、次の手順を実行します。

①参照したいシークレットがSaveされているアイテムを開きます。 ②参照したいシークレットを含むフィールドの横にあるをクリックし、Copy Secret Referenceを選択します。

With 1Password for VS Code

②1Password: Get from 1Password と入力します。

③アイテム名またはIDを入力します。

④使うフィールドを選択します。

With 1Password CLI

$ op item get GitHub --format json --fields username | jq .reference

op item get GitHub --format json

"fields": [
{
"id": "username",
"type": "STRING",
"purpose": "USERNAME",
"label": "username",
"value": "wendy_appleseed@agilebits.com",
"reference": "op://development/GitHub/username"
},
{
"id": "password",
"type": "CONCEALED",
"purpose": "PASSWORD",
"label": "password",
"value": "GADbhK6MjNZrRftGMqto",
"entropy": 115.5291519165039,
"reference": "op://development/GitHub/password",
"password_details": {
"entropy": 115,
"generated": true,
"strength": "FANTASTIC"
}
},
{
"id": "notesPlain",
"type": "STRING",
"purpose": "NOTES",
"label": "notesPlain",
"reference": "op://development/GitHub/notesPlain"
},
{
"id": "5ni6bw735myujqe4elwbzuf2ee",
"section": {
"id": "hv46kvrohfj75q6g45km2uultq",
"label": "credentials"
},
"type": "CONCEALED",
"label": "personal_token",
"value": "ghp_WzgPAEutsFRZH9uxWYtw",
"reference": "op://development/GitHub/credentials/personal_token"
}
]
}

構文規則

シークレット参照では大文字と小文字が区別されず、次の文字がサポートされます。

• 英数字 ( a-z、A-Z、0-9)

• -、、_および.空白文字

シークレット参照に空白が含まれている場合は、シークレット参照を引用符で囲みます。例:

$ op read "op://development/aws/Access Keys/access_key_id"

op item get PagerDuty --fields label=test/ --format json

{
"id": "hu4vwo3bjkawq2uw2fkn5pkjzu",
"section": {
"id": "add more"
},
"type": "STRING",
"label": "text/",
"value": "t",
"reference": "op://Management/PagerDuty/add more/hu4vwo3bjkawq2uw2fkn5pkjzu"
}

ファイルの添付

添付ファイルを参照するには、フィールド名の代わりにファイル名を使用します。

$ op://vault-name/item-name/[section-name/]file-name

外部設定変数

異なる環境で異なるシークレット セットを使う場合は、シークレット参照内に変数を含め、シークレットを切り替えるように変数を設定できます。

例えば、資格情報が dev および prod という名前の 1Password コンテナーにSaveされていると仮定すると、以下の例の APP_ENV 変数を dev に設定して開発資格情報をロードしたり、 prod に設定して実稼働資格情報をロードしたりできます。

MYSQL_DATABASE = "op://$APP_ENV/mysql/database"
MYSQL_USERNAME = "op://$APP_ENV/mysql/username"
MYSQL_PASSWORD = "op://$APP_ENV/mysql/password"

フィールドとファイルのメタデータ属性

クエリ パラメータを含むシークレット参照を使用して、アイテムに関する詳細情報を取得できます。

属性パラメータ

アイテム フィールドとファイル添付に関する情報を取得するには、 attribute(またはattr) クエリ パラメータを使用します。

op://<vault>/<item>[/<section>]/<field-name>?attribute=<attribute-value>

op://<vault>/<item>[/<section>]/<file-name>?attribute=<attribute-value>

Field attributes:

File attachment attributes:

例えば、アイテムのワンタイム パスワード コードを取得するには、次のようにします。

$ op read "op://development/GitHub/Security/one-time password?attribute=otp"

フィールドのタイプを取得するには:

$ op read "op://Personal/aws/access credentials/username?attribute=type"

添付ファイルの名前を取得するには:

$ op read "op://app-infra/ssh/key.pem?attribute=name"

SSH フォーマットパラメータ

OpenSSH 形式で SSH 秘密キーを取得するには、SSH鍵のシークレット参照に値 openssh を指定した ssh-format クエリ パラメーターを含めます。

$ op read "op://Private/ssh keys/ssh key/private key?ssh-format=openssh"

シークレット参照の例

セクション内のフィールド

管理セクション内にある PagerDuty の電子メール フィールドを参照するシークレット参照をCreateするには、次を使用します。

$ op://Management/PagerDuty/Admin/email

• ①Management アイテムがSaveされているvaultを指します

• ②PagerDuty アイテムを参照します

• ③Adimn フィールドが含まれるセクションを指します

• ④email 参照したいシークレットが配置されているフィールドを指します

セクションのないフィールド

セクションの一部ではない Stripe 公開鍵 フィールドの秘密参照をCreateするには、次を使用します。

$ op://dev/Stripe/publishable-key

• ①dev アイテムがSaveされている金庫を指します

• ②Stripe アイテムを指します

• ③publishable-key 参照したい秘密が配置されているフィールドを指します。

さらに詳しく