CloudOps Orchestration Service:テンプレート実行の暗号化パラメーターの使用

CloudOps Orchestration Service (OOS) のパラメーターウェアハウスの暗号化パラメーター機能を使用して、パスワードやキーなどの機密データを保存できます。このようにして、このようなデータはプレーンテキストで表示されなくなり、保存されたデータも直接使用できます。このトピックでは、OOS のテンプレートで暗号化パラメーターを使用する方法について説明します。

1. OOS コンソールにログインします。

2. 左側のナビゲーションウィンドウで、パラメータストア暗号化パラメータを作成する暗号化パラメーター をクリックします。 タブで、暗号化パラメーターを作成します。詳細については、「」トピックの[暗号化パラメーターの作成] セクションをご参照ください。この例では、次の図に示すように、InstancePassword という名前の暗号化パラメーターが作成されます。

3. 暗号化パラメーターを作成した後、テンプレートを作成するか、既存のカスタムテンプレートまたはパブリックテンプレートを選択します。この例では、次のサンプルコードを使用して、インスタンスのパスワードを変更するために使用されるテンプレートが作成されます。

   FormatVersion: OOS-2019-06-01
   Description: Bulky modify the password of an ECS instance.
   Parameters:
     regionId:
       Type: String
       Description: The id of region.
       AssociationProperty: RegionId
       Default: '{{ ACS::RegionId }}'
     targets:
       Type: Json
       AssociationProperty: Targets
       AssociationPropertyMetadata:
         ResourceType: 'ALIYUN::ECS::Instance'
         RegionId: regionId
     instancePassword:
       Description: The password of the ECS instance.
       Type: String
     rateControl:
       Description: Concurrency ratio of task execution.
       Type: Json
       AssociationProperty: RateControl
       Default:
         Mode: Concurrency
         MaxErrors: 0
         Concurrency: 10
     OOSAssumeRole:
       Description: The RAM role to be assumed by OOS.
       Type: String
       Default: OOSServiceRole
   RamRole: '{{ OOSAssumeRole }}'
   Tasks:
     - Name: getInstance
       Description: Views the ECS instances.
       Action: 'ACS::SelectTargets'
       Properties:
         ResourceType: 'ALIYUN::ECS::Instance'
         RegionId: '{{ regionId }}'
         Filters:
           - '{{ targets }}'
       Outputs:
         instanceIds:
           Type: List
           ValueSelector: 'Instances.Instance[].InstanceId'
     - Name: resetPassword
       Action: 'ACS::ECS::ResetPassword'
       Description: Modify the password of an ECS instance.
       Properties:
         regionId: '{{ regionId }}'
         instanceId: '{{ ACS::TaskLoopItem }}'
         password: '{{ instancePassword }}'
       Loop:
         RateControl: '{{ rateControl }}'
         Items: '{{ getInstance.instanceIds }}'
       Outputs:
         instanceId:
           Type: String
           ValueSelector: instanceId

4. テンプレートを作成した後、[カスタムテンプレート] ページでテンプレートを見つけ、[アクション] 列の [実行の作成] をクリックします。[タスクの作成] ウィザードの 実行の作成次の手順: パラメーター設定 ステップで、 をクリックします。

5. [パラメーター設定] ステップで、instancePassword フィールドに値を入力します。また、instancePassword フィールドの横にある パラメーターを選択 アイコンをクリックして、パラメーターウェアハウスからパラメーターを選択することもできます。たとえば、ステップ 2 で作成した暗号化パラメーターなどです。次の図を参照してください。

   

6. [パラメーターの選択] アイコンをクリックすると、[パラメーターの選択] ダイアログ ボックスが表示されます。 [パラメーターの選択] ダイアログ ボックスで、[パラメーター タイプ] パラメーターを [暗号化パラメーター] に設定し、作成した暗号化パラメーターを検索して選択し、[OK] をクリックします。

   

7. 必要なすべてのパラメーターを設定した後、次のステップ: OK をクリックします。

   

8. [OK] ステップで、パラメーター設定を確認し、[作成] をクリックします。

   

9. [タスク実行管理] ページで、作成した実行を見つけ、[アクション] 列の [詳細] をクリックします。[実行ステップと結果] セクションで、[入力] ステップをクリックし、暗号化パラメーターを使用する instancePassword パラメーターを見つけます。 instancePassword パラメーターの値はプレーンテキストでは表示されません。

10. [実行ステップと結果] セクションで、[ログ] タブをクリックします。暗号化パラメーターの呼び出しのログを見つけ、元のリクエストを表示します。ログでは、呼び出された暗号化パラメーターも暗号化されています。これは、暗号化パラメーターを使用して、パスワードなどの機密データを暗号化できることを示しています。

11. テンプレートが実行された後、パスワードが変更されたインスタンスを見つけ、暗号化パラメーターにプリセットされているパスワードを使用して、インスタンスにログインします。インスタンスにログインできることを確認します。