HashiCorpは米国時間7月15日、「HashiCorp Terraform」において権限機能の強化を発表した。管理者は、チームメンバーがチームのAPIトークンを管理できるかを制御できるようになった。
HCP Terraformでは、APIトークンとして、特定のユーザーに属する「ユーザーAPI」、特定のユーザーにもひも付けられることなく特定のチームに属する「チームAPIトークン」、組織レベルでの設定やリソースへの管理アクセスを提供する「組織APIトークン」という3種類が存在する。チームトークンは、プロジェクトやワークスペースに対する細かなアクセスで範囲設定できることから、自動化ワークフローで最も一般的に使われているという。また、個々のユーザーにひも付けられていないので、ユーザーが組織を離れた時の運用リスクをより軽減できるとHashiCorpは説明する。
これまでHCP Terraformでは、チームに追加されたユーザーは、それが一時的であっても、チームAPIトークンを作成、表示、再生成、削除できた。これにより、チームAPIトークンの生成および管理がセキュリティ上の懸念となることがあったという。各チームはアクティブなAPIトークンを一度に一つした持てないため、誤って再生成や削除されると重要なワークフローが中断される場合がある。さらに、チームにかつて所属していたメンバーは、トークンが再生成されるまで、過去に入手したチームトークンの使用がチームから削除された後でも可能だった。
チームAPIトークンに対する新しい設定は、このような課題に対処する。「Organization Settings」の「Teams」メニュー下で各チームの設定ページにある「Team members can manage this API token」(チームメンバーがこのAPIトークンを管理できるようにする)は、組織の要件に合わせ、各チームに対して有効・無効にできる。無効にした場合、組織の「owners」チームのメンバーや組織全体の「Manage teams」権限を持つユーザーのみが、チームAPIトークンの作成、削除、再生成、再生ができるようになる。
出典:HashiCorp
既存のチームに対しては、これまでの動作は変わらず、この設定が無効にされない限り、チームメンバーはチームトークンを管理できる。新しいチームの場合、同オプションは、セキュアバイデフォルトのアプローチに従い、デフォルトで無効になっている。
同機能は、一般提供が「HCP Terraform」で開始されており、「Terraform Enterprise」でもまもなくの予定。APIトークン管理に対するセキュリティポスチャーの向上をチームトークンの露出を制限することで支援すると同社はアピールする。
