AWS Secrets Manager Agent のプリフェッチと IAM ロール引き受けの紹介
AWS Secrets Manager Agent は、起動時にシークレットをプリフェッチすることと、シークレットを取得するために IAM ロールを引き受けることの 2 つの新機能をサポートするようになりました。プリフェッチ機能では、エージェントの起動時に取得してキャッシュするシークレットのリストまたはタグの値を指定できます。これにより、BatchGetSecretValue API を使用してアプリケーションの起動待ち時間を短縮し、コストを最適化できます。IAM ロールを引き受ける機能では、プリフェッチ設定でロール ARN を渡したり、シークレットを取得するための HTTP リクエストを渡したりできます。エージェントは指定されたロールを引き受けてシークレットを取得するため、別のアカウントでロールを継承することでクロスアカウントのシークレット取得が可能になります。
これらの機能強化により、ロールベースのシークレットアクセスによってセキュリティポスチャが強化され、カスタムのプリロードロジックが不要になるため、運用上のオーバーヘッドが削減されます。例えば、起動時に 20 個のシークレットを必要とするマイクロサービスでは、1 回のバッチ操作でそれらをプリフェッチできるようになり、GetSecretValue の連続呼び出しを回避することで起動時の待ち時間を短縮できます。また、IAM ロールの引き受けにより、シークレットごとに異なる IAM ロールを指定できるようになるため、マルチアカウントアーキテクチャが簡素化されます。
プリフェッチ機能と IAM ロール引き受け機能を備えた AWS Secrets Manager Agent は、AWS Secrets Manager が提供されているすべての AWS リージョンでサポートされています。詳細については、AWS Secrets Manager Agent のドキュメントをご覧ください。