AWS、.NETのLinuxコンテナ化を容易に。LinuxコンテナからActive Directoryにアクセスできる「Credentials Fetcher」をオープンソース化。

Amazon Web Services（AWS）の.NETオープンソースチームは、Linuxコンテナ内のサービスからActive Directoryへのアクセスを実現する「Credentials Fetcher」をオープンソースとして公開したことを発表しました。

The AWS .NET #opensource team is pleased to announce the general availability of credentials-fetcher, an open source project to help .NET and Windows developers alike access Microsoft Active Directory (AD) from services hosted on Linux containers. https://t.co/CC2GKi0I7k pic.twitter.com/srOhKBkEuY

— AWS Open Source (@AWSOpen) August 31, 2022

多数のLinuxコンテナ上で稼働するサービスを相互に連携させるようなアーキテクチャのアプリケーションでは、それぞれのサービスを稼働させるアカウントの認証においてパスワードをマニュアルで操作するわけにはいかないため、パスワード管理の自動化が求められます。

.NETアプリケーションでActive Directoryを利用した認証を行う場合には、パスワード管理の自動化が用意されているgMSA（グループマネージドサービスアカウント）を用いることになります。

gMSAアカウントのパスワードは、キー配布サービスによる定期的な変更の下で管理され、システム管理者がパスワードの存在を意識する必要がありません。また指定したホスト以外でのアカウントの利用もできなくなるため、意図しないホストでの利用についても抑えることが可能となるという利点もあります。

今回オープンソース化されたCredentials Fetcherを使用すると、Linuxコンテナ上のサービスからActive Directoryにアクセスすることができ、gMSAに固有のkerberosチケットを作成することが可能になります。

これによってLinuxコンテナ上で.NETを用いた多数のサービスにより構成されるアプリケーションの構築が容易になるわけです。

今回のオープンソースでの提供開始にあたり、AWSはCredentials FetcherをRPM形式としてもパッケージ化してFedora Linuxに追加。このパッケージは「dnf install credentials-fetcher」でインストールできるとのことです（「sudo yum install credentials-fetcher」でもインストールできるようです）。