投稿日: Nov 25, 2019
本日、AWS Secrets Manager にシークレットの自動更新を簡単にするための変更が 2 点加えられたことを発表します。まず、AWS CloudFormation 経由で Redshift クラスターと DocumentDB インスタンスの自動ローテーションを簡単に設定できるようになりました。この操作は、SecretTargetAttachment リソースを使用して、Redshift クラスターまたは DocumentDB インスタンスを Secrets Manager で作成した対応するシークレットに関連付けることで実行できます。次に、サーバーレスアプリケーションを指定することで、簡単にローテーションを設定できるようになりました。AWS は、ローテーションの実行に必要な Lambda 関数、IAM ロール、IAM アクセス許可を自動的に作成します。初めに CloudFormation の例を参照して、シークレットのローテーションスケジュールを設定します。
AWS Secrets Manager を使用すると、データベースの認証情報や API キーといったシークレットを、ライフサイクル全体で取得および管理できるようになります。また、AWS Secrets Manager では、ユーザーが決定したスケジュールに基づいてシークレットを安全に更新することにより、セキュリティのベストプラクティスに従って短期シークレットを簡単に使用することもできます。例えば、データベースの認証情報を毎日更新するように Secrets Manager を設定することで、一般的な長期シークレットが短期シークレットに変換され、自動的に更新されるようにできます。
Secrets Manager が利用可能なリージョンの一覧については、AWS リージョン表を参照してください。Secrets Manager の詳細については、ドキュメント をご覧になるか、AWS ブログ記事の Store, Distribute, and Rotate Credentials Securely および Rotate Amazon RDS database credentials automatically with Secrets Manager を参照してください。