jpskill.com
🛠️ 開発・MCP コミュニティ

hashicorp-vault

HashiCorp Vault を活用し、秘密情報や暗号鍵、データベースの動的な認証情報を安全に管理し、Kubernetesとの連携や暗号化サービス利用時の設定などを支援するSkill。

📜 元の英語説明(参考)

Assists with managing secrets, encryption keys, and dynamic credentials using HashiCorp Vault. Use when configuring secret engines, setting up dynamic database credentials, implementing access policies, integrating with Kubernetes, or using Transit for encryption as a service. Trigger words: vault, secrets management, dynamic secrets, transit engine, pki, approle, vault agent.

🇯🇵 日本人クリエイター向け解説

一言でいうと

HashiCorp Vault を活用し、秘密情報や暗号鍵、データベースの動的な認証情報を安全に管理し、Kubernetesとの連携や暗号化サービス利用時の設定などを支援するSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o hashicorp-vault.zip https://jpskill.com/download/14973.zip && unzip -o hashicorp-vault.zip && rm hashicorp-vault.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/14973.zip -OutFile "$d\hashicorp-vault.zip"; Expand-Archive "$d\hashicorp-vault.zip" -DestinationPath $d -Force; ri "$d\hashicorp-vault.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して hashicorp-vault.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → hashicorp-vault フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-18
取得日時
2026-05-18
同梱ファイル
1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

HashiCorp Vault

概要

HashiCorp Vault は、バージョン管理機能付きの KV ストレージ、データベースやクラウドプロバイダー向けの動的な短期間の認証情報、PKI 証明書管理、サービスとしての Transit 暗号化、およびきめ細かい HCL ベースのアクセスポリシーを提供するシークレット管理プラットフォームです。サイドカーインジェクションを介して Kubernetes と統合し、AppRole 認証を介して CI/CD パイプラインと統合します。

手順

  • 静的なシークレットを保存する場合は、API キーと構成値にバージョン管理機能付きの KV v2 エンジンを使用し、アプリケーションおよび環境パスごとにシークレットを整理します。
  • データベースアクセスを管理する場合は、Database シークレットエンジンを使用して、自動的に期限切れになる動的な短期間の認証情報を生成し、認証情報漏洩の影響範囲を制限します。
  • アプリケーションを認証する場合は、サービスと CI/CD には AppRole (secret_id ローテーション付き)、Pod には Kubernetes 認証、SSO 統合には JWT/OIDC を使用します。トークンをハードコードしないでください。
  • データを暗号化する場合は、サービスとしての Transit エンジンを使用して、アプリケーションがキーを管理せずにデータを暗号化/復号化できるようにします。キーローテーションと収束暗号化をサポートします。
  • アクセスを定義する場合は、デフォルトで拒否する HCL ポリシーを作成し、パスごとに最小限の機能 (create、read、update、delete、list) を許可し、ユーザーごとの分離にパスのテンプレートを使用します。
  • Kubernetes にデプロイする場合は、Vault Agent サイドカーインジェクターまたは CSI プロバイダーを使用して、シークレットをファイルまたは環境変数として Pod に注入し、アプリケーションが Vault SDK なしでシークレットを読み取れるようにします。

例 1: マイクロサービスに動的なデータベース認証情報を設定する

ユーザーリクエスト: 「API サービス用に有効期間の短い PostgreSQL 認証情報を Vault から発行するように構成してください」

アクション:

  1. Database シークレットエンジンを有効にし、PostgreSQL 接続を構成します
  2. 読み取り専用アクセス用の SQL ステートメントと 1 時間の TTL を持つロールを作成します
  3. database/creds/readonly を許可するポリシーを使用して、API サービス用に AppRole 認証を設定します
  4. Vault Agent サイドカーを構成して、認証情報を Pod に注入し、リースを自動更新します

出力: 自動ローテーションと 1 時間の有効期限を持つ動的なデータベース認証情報を受信するマイクロサービス。

例 2: Transit エンジンを使用してサービスとして暗号化を追加する

ユーザーリクエスト: 「キーを管理せずに Vault Transit を使用して、保存時に機密ユーザーデータを暗号化します」

アクション:

  1. Transit シークレットエンジンを有効にし、名前付き暗号化キーを作成します
  2. データベース書き込み前に transit/encrypt/key-name を介してデータを暗号化する API ミドルウェアを構築します
  3. 読み取り時に transit/decrypt/key-name を呼び出す復号化パスを追加します
  4. キーローテーションポリシーを構成し、古いデータが復号化可能であることを確認します

出力: 自動キー管理とローテーションを備えた Vault Transit を使用したアプリケーションレベルの暗号化。

ガイドライン

  • データベースには動的なシークレットを使用します。有効期間の短い認証情報は、侵害の影響範囲を制限するためです。
  • サービスには AppRole を使用し、ハードコードされたトークンは絶対に使用しないでください。AppRole は secret_id ローテーションをサポートするためです。
  • アプリケーションレベルの暗号化の代わりに Transit エンジンを使用します。キー管理は Vault の責任であるためです。
  • TTL は可能な限り短く設定します。データベース認証情報の場合は 1 時間、CI トークンの場合は 15 分です。
  • コンプライアンスのために監査デバイスのロギングを有効にします。誰がいつ何にアクセスしたかを記録するためです。
  • Kubernetes で Vault Agent サイドカーを使用します。アプリケーションは Vault SDK を必要とせずにファイルからシークレットを読み取るためです。
  • ルートトークンを安全に保管し、初期設定後に失効させます。オペレーターは個人トークンを使用する必要があります。
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

HashiCorp Vault

Overview

HashiCorp Vault is a secrets management platform that provides KV storage with versioning, dynamic short-lived credentials for databases and cloud providers, PKI certificate management, Transit encryption as a service, and fine-grained HCL-based access policies. It integrates with Kubernetes via sidecar injection and CI/CD pipelines via AppRole authentication.

Instructions

  • When storing static secrets, use the KV v2 engine with versioning for API keys and configuration values, organizing secrets by application and environment paths.
  • When managing database access, use the Database secret engine to generate dynamic, short-lived credentials that automatically expire, limiting the blast radius of credential leaks.
  • When authenticating applications, use AppRole for services and CI/CD (with secret_id rotation), Kubernetes auth for pods, and JWT/OIDC for SSO integration; never hardcode tokens.
  • When encrypting data, use the Transit engine for encryption as a service so applications encrypt/decrypt data without managing keys, with support for key rotation and convergent encryption.
  • When defining access, write HCL policies with deny-by-default, granting minimum capabilities (create, read, update, delete, list) per path, and use path templating for per-user isolation.
  • When deploying in Kubernetes, use Vault Agent sidecar injector or CSI provider to inject secrets into pods as files or environment variables, so applications read secrets without a Vault SDK.

Examples

Example 1: Set up dynamic database credentials for a microservice

User request: "Configure Vault to issue short-lived PostgreSQL credentials for my API service"

Actions:

  1. Enable the Database secret engine and configure the PostgreSQL connection
  2. Create a role with a SQL statement for read-only access and a 1-hour TTL
  3. Set up AppRole authentication for the API service with a policy allowing database/creds/readonly
  4. Configure Vault Agent sidecar to inject credentials into the pod and auto-renew leases

Output: A microservice that receives dynamic database credentials with automatic rotation and a 1-hour expiry.

Example 2: Add encryption as a service with Transit engine

User request: "Encrypt sensitive user data at rest using Vault Transit without managing keys"

Actions:

  1. Enable the Transit secret engine and create a named encryption key
  2. Build an API middleware that encrypts data via transit/encrypt/key-name before database writes
  3. Add a decryption path that calls transit/decrypt/key-name on reads
  4. Configure key rotation policy and verify old data remains decryptable

Output: Application-level encryption using Vault Transit with automatic key management and rotation.

Guidelines

  • Use dynamic secrets for databases since short-lived credentials limit the blast radius of a breach.
  • Use AppRole for services, never hardcoded tokens, since AppRole supports secret_id rotation.
  • Use Transit engine instead of application-level encryption since key management is Vault's responsibility.
  • Set TTLs as short as practical: 1 hour for database credentials and 15 minutes for CI tokens.
  • Enable audit device logging for compliance since it records who accessed what and when.
  • Use Vault Agent sidecar in Kubernetes so applications read secrets from files without needing a Vault SDK.
  • Store the root token securely and revoke it after initial setup; operators should use personal tokens.