sops-nixでできることとできないこと

sops-nixを設定しているときにこれできない！！ってなってて詰まったからメモ。 sops-nixは秘密を管理するためのツールのsopsをNixで使いやすくするためのモジュール。

できること

• 暗号化された情報を復号してファイルに書いて配置
  • 普通は/run/secrets/に保存される
  • 以下の鍵を使って暗号化できる
    • SSH
      • RSA鍵ならssh-to-pgpを使ってpgp鍵にできる
      • ed25519なら ssh-to-ageを使ってage鍵にできる
    • age
    • pgp
  • 暗号化された情報を保存するには以下のファイル形式が使える
    • yaml
    • json
    • ini
    • dotenv
    • binary
• 配置されるファイルのパスをビルド時に知る
• templatesを使って復号化された情報を合成してそのパスを知る
  • 通常は/run/secrets-rendered/以下に配置される
• 配置されるファイルのownerや権限(777とか0400とかそういうやつ)を設定する

できないこと

• ビルドするときに復号化された情報の中身を知る
  • これができるはずだと思って調べて時間を無駄にしてしまった。よく考えれば、鍵はNix storeに存在しないから復号できるはずもないのに

おわりに

sops-nixは便利。でもどうやっても対応できないのはあるかも

Tags /Nix/ /NixOS/