オンプレミスエージェント向けGoogle Secret Managerの設定
このガイドでは、Workatoのオンプレミスエージェント(OPA)でGoogle Secret Managerを使用して、データベース認証情報を保存する方法を説明します。
OPAコネクションタイプに対するGoogle Secret Managerのサポート
Google Secret Managerはクラウドプロファイルとコネクションプロファイルの両方をサポートしています。それぞれ設定プロセスが異なります。
| オンプレミスシステムのコネクションタイプ | Google Secret Managerの設定 | シークレット参照 |
|---|---|---|
| クラウドプロファイル(推奨) | WorkatoのGoogle Secret Managerコネクター | Google Secret Managerで定義されているシークレット名を入力します |
| コネクションプロファイル | config.ymlのsecretsセクション | { secret: '<secret_name>' } |
コネクションタイプ
- クラウドプロファイルはWorkatoで直接セットアップされるため、オンプレミスエージェントがインストールされているマシンにアクセスする必要はありません。
- コネクションプロファイルは、オンプレミスエージェントがインストールされているマシン上の
config.ymlファイルで手動でセットアップします。
クラウドプロファイルでGoogle Secret Managerを使用する
クラウドプロファイルとして設定されたオンプレミスシステムの認証情報を保存するためにGoogle Secret Managerを設定して使用するには、次の手順を完了します。
Google Cloudサービスアカウントを設定します。 これにより、WorkatoはSecret Managerからシークレットを取得できます。
ワークスペースレベルまたはプロジェクトレベルでGoogle Secret Managerを設定します。 コネクション設定のコネクションタイプフィールドで、クラウドプロファイルとして設定したオンプレミスグループの名前を選択します。
コネクションプロファイルでGoogle Secret Managerを使用する
注: このチュートリアルでは、シークレットを使用してパスワードを暗号化することに焦点を当てます。 ただし、シークレットを使用して、ユーザー名、データベース名など、任意のコネクション値を暗号化できます。
前提条件
OPAと連携するようにGoogle Secret Managerを設定するには、以下が必要です。
- Workatoのオンプレミスグループ権限
- Environment変数を設定する権限
- Google Secret Managerで以下を実行する権限:
- シークレットの作成
- サービスアカウントを作成
ステップ1: Googleでシークレットを作成する
Google Secret Managerにログインします。
+ CREATE SECRETをクリックします

シークレットに名前を割り当てます。この名前は、OPA設定ファイルで正しいパスワードを検索するために使用されます。 この例では、名前はworkato-sqlserver-passwordです。

シークレットを作成したら、プロジェクト、シークレット名、バージョンを記録します。 これらを使用してSecret Versionの形式にし、OPA内に配置します。
この例では、次のようになります。
- プロジェクトは
558965260687、 - シークレット名は
workato-sqlserver-password、 - バージョンは
1です。
つまり、OPA設定ファイルで使用される複合値はprojects/558965260687/secrets/workato-sqlserver-password/versions/1です

シークレットに最新バージョンを使用する
projects/558965260687/secrets/workato-sqlserver-password/versions/latestを使用して、シークレットの最新バージョンを参照することもできます。
ステップ2: OPA設定ファイルとGoogle Secret Managerへのコネクションを設定する
ここで、シークレットプロバイダーに関する情報をOPA設定ファイルに追加し、Google Secret Managerコネクションを設定します。
OPA設定ファイルに、providerキーを含むsecretsセクションを追加します。
secrets:
provider: googleproviderにはgoogleを入力します。
ファイルを保存します。
Googleコネクション認証情報の保存
OPA設定ファイルにGoogleコネクションの認証情報を保存する必要はありません。 OPAはApplication Default Credentialsを使用してGoogleへのリクエストを認証します。 シークレットへの読み取りアクセス権を持つサービスアカウントを作成し、サービスアカウントキーをEnvironment変数に保存します。
ステップ3: データベースプロファイルを設定する
最後に、データベースプロファイルで使用するシークレットを指定します。
設定ファイルで、データベースプロファイルに移動します。
passwordキーで、ステップ1で作成したシークレット値を指定します。
database:
sql:
adapter: sqlserver
host: localhost
port: 1433
database: test
username: db_user
password: { secret: 'projects/558965260687/secrets/workato_opa_sqlserver_password/versions/latest' }ファイルを保存します。
Last updated: