インフラストラクチャー部の菅原(@sgwr_dts)です。
インフラストラクチャー部のメンバーはオペレーションのため強力な権限のMySQLアカウントを使用していますが、サービス開発をするエンジニアも業務のためにサービスのDBの参照・更新権限を持ったアカウントが必要になることがあります。
セキュリティやオペレーションミスのことを考えると、すべてのエンジニアのアカウントをスーパーユーザーにするわけにはいかないため、都度適切な権限を付与していますが、手動での作業は地味に手間がかかります。
そこでクックパッドではMySQLのアカウント情報をコード化し、リポジトリで管理するようにしています。
gratanによるコード化
MySQLのアカウント管理はgratanという自作のツールを使って行っています。 gratanを使うとMySQLのアカウントをRubyのDSLで記述することができるようになります。
require'other/grantfile'# 他の権限定義ファイルを読み込む user "scott", ["127.0.0.1", "%"] do on "*.*"do grant "USAGE"end# test DBへの権限付与は2014/10/08まで on "test.*", expired: '2014/10/08'do grant "SELECT" grant "INSERT"end # test2 DBのresipe_*テーブルに対して権限を付与 on /^test2\.recipe_/do grant "SELECT" grant "INSERT"endend
上記のDSLをMySQLに適用すると、たとえば以下のようなログが出力されます。
$ bundle exec rake apply[db_foo][WARN] User `scott@%`: Object `test.*` has expired [WARN] User `scott@127.0.0.1`: Object `test.*` has expired REVOKE SELECT ON `test`.`*` FROM 'scott'@'%' REVOKE INSERT ON `test`.`*` FROM 'scott'@'%' REVOKE SELECT ON `test`.`*` FROM 'scott'@'127.0.0.1' REVOKE INSERT ON `test`.`*` FROM 'scott'@'127.0.0.1' GRANT SELECT ON `test2`.`recipe_photos` TO 'scott'@'%' GRANT SELECT ON `test2`.`recipe_photos` TO 'scott'@'127.0.0.1' FLUSH PRIVILEGES
gratanは冪等性を保証しているので、MySQLの権限がすでに定義ファイル通りである場合には、なにも変更を行いません。
$ bundle exec rake apply[db_foo] No change
また、expiredを記述すると、指定した日付以降にDSLを適用した場合に、期限の切れた権限をREVOKEするようになります。このため、現在の運用では定期的にDSLの適用を行い、期限が切れた権限がDBに残らないようにしています。
このような定義ファイルを各エンジニアごとに作成し、以下のようなディレクトリ構成でGitに保存しています。
repo
├── Gemfile
├── Rakefile
├── db_bar
│ ├── Grantfile
│ ├── alice.grant
│ └── bob.grant
└── db_foo
├── Grantfile
├── scott.grant
└── tiger.grant権限付与のワークフロー
エンジニアへの権限の付与は次のようなワークフローで行われます。
- エンジニアがリポジトリをFork
- 必要な権限を追加した修正をPull Request
- Pull Requestをレビューして問題がなければマージ
- マージしたリポジトリのアカウント情報をMySQLに適用
何がうれしいのか
オペレーションのしやすさ
権限付与の作業はrakeタスクで自動化されているので作業者はrakeコマンドを実行するだけでよく、オペレーションミスを防ぐことができます。
アカウントの見通しの良さ
すべてのエンジニアのMySQLアカウントはテキストファイルとしてGitに保存されているため、誰が、どのDBに対して、どのような権限を持っているかがすぐに把握できます。そのため不必要なアカウントがずっと残ってしまうような問題を防ぐことができます。
履歴が残る
Gitで管理しているので、いつ誰にどのDBの権限を与えたかがすべて残ります。またどのような理由にで権限が必要になったかについても、Pull Requestの形でレビューとともに履歴が残ります。
おわりに
今のところMySQLへの適用作業はインフラエンジニアが手動でコマンドを実行しているのですが、Pull Requestがマージされたタイミングで自動的に適用するのもそれほど難しいことではないため、できれば完全に自動化したいと考えています。
インフラストラクチャー部では、刺身タンポポを撲滅できるエンジニアを募集しています。