[AWS CSAP] AWS Secrets Manager

本稿は、AWS Solution Architect Professional に出題される AWS Secrets Manager について個人用にまとめた記事です。
AWS Secret Manager は Fargete で DB 認証情報を扱う問題で出題されます。

AWS Secrets Manager とは

データベース認証情報、パスワード、サードパーティーの API キーなどの任意のテキストをより簡単に管理する AWS サービスです。たとえば、RDS への認証をアプリケーションの conf ファイルに直書きしている事はよくあるでしょう。セキュリティポリシーによって認証情報をアップデートをする必要が発生した場合、conf ファイルをアップデートする必要があります。Secrets Manager を使用すると、conf 内に直書きされた認証情報を Secrets Manager への API コールに置き換えてアプリケーション上から認証情報を取得することができます。

アプリケーション内にハードコーディングされた機密情報を削除し、より安全な運用が可能になります。

格納できる機密情報の種類

機密情報は JSON で格納できます。

情報の暗号化

機密情報は AWS KMS を使って暗号化できます。

認証情報の自動更新

RDS for MySQL 、 PostgreSQL 、 Aurora の認証情報の自動更新を標準サポートします。似たサービスに System Manager Parameter Store がありますが、認証情報の自動更新の標準サポートはなく、Lambda で作り込みが必要です。

Secret Manager と Parameter Store のどちらを使うべきか

認証情報のライフサイクルを行うのであれば、Secret Manager を使用し、認証情報のライフサイクル要件がない場合は、追加料金なしで利用できる Parameter Sotre を使用しましょう。

参考リンク

チートシート

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA