1. 概要
パスワードや API キーなどのシークレットは機密情報であるため、安全な暗号化されたストレージに保存し、アクセスを制御し、監査可能にする必要があります。一部のシステムでは、これらのシークレットを保存するために Vault を使用しています。Google Cloud では、マネージド サービスである Secret Manager を使用してシークレットを安全に保存し、IAM を使用して個々のシークレットへのアクセスを制御できます。
Spring Boot では、Spring Cloud GCP を使用して、他の Spring プロパティを参照するのと同じように、これらのシークレットに簡単にアクセスできます。
この Codelab では、Secret Manager にシークレットを保存し、シンプルな Spring Boot マイクロサービスを構築してシークレットを取得します。
学習内容
- Spring Boot Java アプリケーションを作成して Secret Manager を構成する方法。
必要なもの
このチュートリアルをどのように使用されますか?
HTML/CSS ウェブアプリの作成経験についてお答えください。
Google Cloud サービスの使用経験はどの程度ありますか?
2. 設定と要件
セルフペース型の環境設定
- Cloud Console にログインし、新しいプロジェクトを作成するか、既存のプロジェクトを再利用します(Gmail アカウントまたは G Suite アカウントをお持ちでない場合は、アカウントを作成する必要があります)。
プロジェクト ID を忘れないようにしてください。プロジェクト ID はすべての Google Cloud プロジェクトを通じて一意の名前にする必要があります(上記の名前はすでに使用されているので使用できません)。以降、このコードラボでは PROJECT_ID と呼びます。
- 次に、Google Cloud リソースを使用するために、Cloud Console で課金を有効にする必要があります。
このコードラボを実行しても、費用はほとんどかからないはずです。このチュートリアル以外で請求が発生しないように、リソースのシャットダウン方法を説明する「クリーンアップ」セクションの手順に従うようにしてください。Google Cloud の新規ユーザーは、300 米ドル分の無料トライアル プログラムをご利用いただけます。
Google Cloud Shell
Google Cloud サービスはノートパソコンからリモートで操作できますが、この Codelab では、Google Cloud Shell(Cloud 上で動作するコマンドライン環境)を使用します。
Cloud Shell をアクティブにする
- Cloud Console で、[Cloud Shell をアクティブにする]
をクリックします。
Cloud Shell を起動したことがない場合、その内容を説明する中間画面が(スクロールしなければ見えない範囲に)が表示されます。その場合は、[続行] をクリックします(以後表示されなくなります)。このワンタイム スクリーンは次のようになります。
Cloud Shell のプロビジョニングと接続に少し時間がかかる程度です。
この仮想マシンには、必要な開発ツールがすべて準備されています。5 GB の永続ホーム ディレクトリが用意されており、Google Cloud で稼働するため、ネットワーク パフォーマンスが充実しており認証もスムーズです。このコードラボでの作業のほとんどは、ブラウザまたは Chromebook から実行できます。
Cloud Shell に接続すると、すでに認証は完了しており、プロジェクトに各自のプロジェクト ID が設定されていることがわかります。
- Cloud Shell で次のコマンドを実行して、認証されたことを確認します。
gcloud auth list
コマンド出力
Credentialed Accounts
ACTIVE ACCOUNT
* <my_account>@<my_domain.com>
To set the active account, run:
$ gcloud config set account `ACCOUNT`
gcloud config list project
コマンド出力
[core] project = <PROJECT_ID>
上記のようになっていない場合は、次のコマンドで設定できます。
gcloud config set project <PROJECT_ID>
コマンド出力
Updated property [core/project].
3. Secret を構成する
Secret Manager を使用するには、まず API を有効にします。
$ gcloud services enable secretmanager.googleapis.com
次に、値が Hello の greeting という名前のシークレットを作成します。
$ echo -n "Hello" | \ gcloud secrets create greeting \ --data-file=-
このコマンドは、STDIN を使用してコマンドラインに値を渡します。ただし、シークレット値をファイルに配置し、--data-file 引数のファイル名を指定することもできます。
gcloud CLI を使用して、すべてのシークレットを一覧表示できます。
$ gcloud secrets list
4. 新しい Spring Boot REST サービスを作成する
Cloud Shell の起動後に以下のコマンドラインを使用すると、Spring Initializr を使用して新しい Spring Boot アプリケーションを生成できます。
$ curl https://start.spring.io/starter.tgz -d packaging=jar \ -d dependencies=web,cloud-gcp \ -d bootVersion=3.0.6 \ -d type=maven-project \ -d baseDir=hello-secret-manager | tar -xzvf - \ && cd hello-secret-manager
pom.xml で、Spring Cloud GCP スターターの依存関係を追加します。
pom.xml
<project>
...
<dependencies>
...
<!-- Add Secret Manager Starter -->
<dependency>
<groupId>com.google.cloud</groupId>
<artifactId>spring-cloud-gcp-starter-secretmanager</artifactId>
</dependency>
</dependencies>
...
</project>
src/main/resources/application.properties ファイルに次の構成を追加して、Spring Boot Config Data API を有効にします。
spring.config.import=sm://
これにより、Spring プロパティ ソースが構成され、sm:// の接頭辞(sm://greeting など)を使用して、プロパティ値でシークレットを参照できるようになります。
プロパティの形式について詳しくは、Spring Cloud GCP Secret Manager のドキュメントをご覧ください。application.properties 要件は Spring Cloud GCP 4.x で新たに導入されたものです。詳しくは、移行ガイドをご覧ください。
新しいクラスファイルを追加して、新しい REST コントローラを作成します。
src/main/java/com/example/demo/HelloSecretController.java
package com.example.demo;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
public class HelloSecretController {
String greeting = "Hi";
@GetMapping("/")
public String hello() {
return greeting + " World!";
}
}
Spring Boot プラグインを使用して、Spring Boot アプリケーションを通常どおり起動できます。
JAVA_HOME が正しい JDK バージョンに設定されていることを確認します。
$ export JAVA_HOME=/usr/lib/jvm/java-17-openjdk-amd64/
このラボではテストをスキップして、アプリケーションを起動しましょう。
$ ./mvnw -DskipTests spring-boot:run
アプリケーションが開始したら、Cloud Shell ツールバーのウェブでプレビュー アイコン 
をクリックし、[プレビューのポート: 8080] を選択します。
しばらくすると、次のような結果が表示されます。
5. Secret を取得する
@Value アノテーションを使用すると、sm:// 接頭辞を使用してシークレット プロパティを参照できます。
HelloSecretController クラスで、アノテーションを使用して greeting 値を挿入します。
src/main/java/com/example/demo/HelloSecretController.java
import org.springframework.beans.factory.annotation.Value;
...
@RestController
public class HelloSecretController {
@Value("${sm://greeting}")
String greeting;
...
}
Spring Boot プラグインを使用して、Spring Boot アプリケーションを通常どおり起動できます。このラボのテストをスキップしましょう。
$ ./mvnw -DskipTests spring-boot:run
アプリケーションが開始したら、Cloud Shell ツールバーのウェブでプレビュー アイコン をクリックし、[プレビューのポート: 8080] を選択します。
しばらくすると、次のような結果が表示されます。
値を application.properties のプロパティにマッピングすることもできます。
src/main/resources/application.properties
greeting=${sm://greeting}
HelloSecretController では、Secret Manager 名ではなく、このより一般的なプロパティ名を参照できます。
src/main/java/com/example/demo/HelloSecretController.java
@RestController
public class HelloSecretController {
@Value("${greeting}")
String greeting;
...
}
Spring Boot プラグインを使用して、Spring Boot アプリケーションを通常どおり起動できます。このラボのテストをスキップしましょう。
$ ./mvnw -DskipTests spring-boot:run
アプリケーションが開始したら、Cloud Shell ツールバーのウェブでプレビュー アイコン をクリックし、[プレビューのポート: 8080] を選択します。
シークレット値を更新する
sm://greeting 短縮構文を使用すると、最新バージョンのシークレットが自動的に使用されます。Secret の新しいバージョンを作成することで、コードを変更せずにアプリケーションを更新できます。
新しいバージョンを追加して、シークレットの値を更新します。
$ echo -n "Greetings" | gcloud secrets versions add greeting \ --data-file=-
アプリケーションを再起動し、新しいバージョンのシークレットが返されていることを確認します。
このコンセプトの拡張
この手法は、異なる Spring Boot アプリケーション プロファイルを使用する場合に特に便利です。たとえば、greeting-dev、greeting-staging、greeting-prod などのシークレットを作成できます。各プロファイルで、適切な挨拶にマッピングします。
greeting-prod シークレットを作成します。
$ echo -n "Hola" | \ gcloud secrets create greeting-prod \ --data-file=- --replication-policy=automatic
application-prod.properties ファイルを作成します。
src/main/resources/application-prod.properties
greeting=${sm://greeting-prod}
Spring Boot プラグインを使用して、prod プロファイルで Spring Boot アプリケーションを通常どおり起動できます。このラボのテストをスキップしましょう。
$ ./mvnw -DskipTests spring-boot:run -Dspring-boot.run.profiles=prod
アプリケーションが開始したら、Cloud Shell ツールバーのウェブでプレビュー アイコン をクリックし、[プレビューのポート: 8080] を選択します。
しばらくすると、次のような結果が表示されます。
6. まとめ
このラボでは、sm:// で始まる Spring のプロパティ名を使用して、Secret Manager に保存されているシークレットを使用して構成できるサービスを作成し、applications.properties ファイルと @Value アノテーションから値を挿入しました。
7. 完了
Java で Secret Manager API を使用する方法を学習しました。
詳細
- GCP プロジェクトの Spring: http://cloud.spring.io/spring-cloud-gcp/
- Spring on GCP GitHub リポジトリ: https://github.com/GoogleCloudPlatform/spring-cloud-gcp
- Google Cloud 上の Java: https://cloud.google.com/java/
- Secret Manager でのシークレットへのアクセス制御: https://cloud.google.com/secret-manager/docs/access-control
- Secret Manager の監査ロギング: https://cloud.google.com/secret-manager/docs/audit-logging
ライセンス
この作業はクリエイティブ・コモンズの表示 2.0 汎用ライセンスにより使用許諾されています。