AWS Secrets Manager の特徴

AWS Secrets Manager は保管中のシークレットをお客様の所有する暗号化キーで暗号化し、AWS Key Management Service (KMS) に保管します。シークレットを取得すると、Secrets Manager はシークレットを復号し、これを安全に TLS 上でお客様のローカル環境に送信します。デフォルトでは、Secrets Manager はシークレット永続的なストレージに書き込みまたはキャッシュしません。シークレットへのアクセスは、AWS Identity and Access Management (IAM) のきめ細かいポリシーを使用して制限できます。

AWS Secrets Manager では、Secrets Manager コンソール、AWS SDK、または AWS CLI を用いてスケジュールに従い、またはオンデマンドでシークレットを更新できます。例えば、データベースのパスワードを更新するには、パスワードを Secrets Manager に保存するときにデータベースタイプ、更新頻度、マスターデータベース認証情報を与えてください。この更新機能は、サンプル Lambda 関数の変更で他のシークレットにも適用できます。例えば、アプリケーションの承認に使う Oauth リフレッシュトークンや、オンプレミスでホストしている MySQL データベースに使うパスワードを更新できます。ユーザーとアプリケーションは、ハードコードのシークレットを Secrets Manager API へのコールで置き換えてシークレットを更新でき、これにより、アプリケーションを中断なく実行しながら自動的にシークレットを更新できます。

シークレットの保管と取得は AWS Secrets Manager コンソール、AWS SDK、または AWS CLI を用いて行えます。シークレットを取得するには、アプリケーション中のプレーンテキストのシークレットを、 Secrets Manager API を用いてこれらのシークレットをプログラムで引き出すコードで置き換えるだけです。Secrets Manager は Secrets Manager API を呼び出すコードのサンプルをご用意しており、これらはまた Secrets Manager リソースページにもあります。

AWS Secrets Manager ではシークレットの監査と監視を、AWS ログ記録、モニタリング、通知サービスへの統合で行えます。例えば、ある AWS リージョンに対して AWS CloudTrail を有効にした後、シークレットがいつ保管または更新されたかは AWS CloudTrail ログを見て監査できます。同様に、Amazon CloudWatch の設定によって、一定期間シークレットが使われない場合に Amazon Simple Notification Service を使って E メールのメッセージを受け取るように、または Amazon CloudWatch Events の設定によって Secrets Manager がシークレットを更新したときにプッシュ通知を受け取るようにできます。