コードで行うMySQLのアカウント管理 - クックパッド開発者ブログ

インフラストラクチャー部の菅原（@sgwr_dts)です。

インフラストラクチャー部のメンバーはオペレーションのため強力な権限のMySQLアカウントを使用していますが、サービス開発をするエンジニアも業務のためにサービスのDBの参照・更新権限を持ったアカウントが必要になることがあります。

セキュリティやオペレーションミスのことを考えると、すべてのエンジニアのアカウントをスーパーユーザーにするわけにはいかないため、都度適切な権限を付与していますが、手動での作業は地味に手間がかかります。

そこでクックパッドではMySQLのアカウント情報をコード化し、リポジトリで管理するようにしています。

gratanによるコード化

MySQLのアカウント管理はgratanという自作のツールを使って行っています。 gratanを使うとMySQLのアカウントをRubyのDSLで記述することができるようになります。

require 'other/grantfile' # 他の権限定義ファイルを読み込む

user "scott", ["127.0.0.1", "%"] do
  on "*.*" do
    grant "USAGE"
  end

  # test DBへの権限付与は2014/10/08まで
  on "test.*", expired: '2014/10/08' do
    grant "SELECT"
    grant "INSERT"
  end

　# test2 DBのresipe_*テーブルに対して権限を付与
  on /^test2\.recipe_/ do
    grant "SELECT"
    grant "INSERT"
  end
end

上記のDSLをMySQLに適用すると、たとえば以下のようなログが出力されます。

$ bundle exec rake apply[db_foo]
[WARN] User `scott@%`: Object `test.*` has expired
[WARN] User `scott@127.0.0.1`: Object `test.*` has expired
REVOKE SELECT ON `test`.`*` FROM 'scott'@'%'
REVOKE INSERT ON `test`.`*` FROM 'scott'@'%'
REVOKE SELECT ON `test`.`*` FROM 'scott'@'127.0.0.1'
REVOKE INSERT ON `test`.`*` FROM 'scott'@'127.0.0.1'
GRANT SELECT ON `test2`.`recipe_photos` TO 'scott'@'%'
GRANT SELECT ON `test2`.`recipe_photos` TO 'scott'@'127.0.0.1'
FLUSH PRIVILEGES

gratanは冪等性を保証しているので、MySQLの権限がすでに定義ファイル通りである場合には、なにも変更を行いません。

$ bundle exec rake apply[db_foo]
No change

また、expiredを記述すると、指定した日付以降にDSLを適用した場合に、期限の切れた権限をREVOKEするようになります。このため、現在の運用では定期的にDSLの適用を行い、期限が切れた権限がDBに残らないようにしています。

このような定義ファイルを各エンジニアごとに作成し、以下のようなディレクトリ構成でGitに保存しています。

repo
├── Gemfile
├── Rakefile
├── db_bar
│   ├── Grantfile
│   ├── alice.grant
│   └── bob.grant
└── db_foo
    ├── Grantfile
    ├── scott.grant
    └── tiger.grant