シークレットマネージャー - AWS IoT Greengrass

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

シークレットマネージャー

シークレットマネージャーコンポーネント (aws.greengrass.SecretManager) は、 AWS Secrets Manager から Greengrass コアデバイスにシークレットをデプロイします。このコンポーネントを使用して、Greengrass コアデバイスのカスタムコンポーネントでパスワードなどの認証情報を安全に使用します。Secrets Manager の詳細については、「AWS Secrets Manager ユーザーガイド」の「AWS Secrets Managerとは」を参照してください。

カスタム Greengrass コンポーネントのこのコンポーネントのシークレットにアクセスするには、 の GetSecretValue オペレーションを使用します AWS IoT Device SDK。詳細については、「を使用して AWS IoT Device SDK Greengrass nucleus、その他のコンポーネント、および と通信します。 AWS IoT Core」および「シークレット値を取得する」を参照してください。

このコンポーネントは、コアデバイスのシークレットを暗号化して、認証情報およびパスワードを使用する必要があるまで安全に保ちます。コアデバイスのプライベートキーを使用して、シークレットを暗号化および復号化します。

バージョン

このコンポーネントには、次のバージョンがあります。

  • 2.1.x

  • 2.0.x

タイプ

このコンポーネントはプラグインコンポーネント (aws.greengrass.plugin) です。Greengrass nucleus は、nucleus と同じ Java バーチャルマシン (JVM) でこのコンポーネントを実行します。コアデバイスでこのコンポーネントのバージョンを変更するとき、nucleus が再起動します。

このコンポーネントは、Greengrass nucleus と同じログファイルを使用します。詳細については、「AWS IoT Greengrass ログのモニタリング」を参照してください。

詳細については、「コンポーネントタイプ」を参照してください。

オペレーティングシステム

このコンポーネントは、次のオペレーティングシステムを実行するコアデバイスにインストールできます。

  • Linux

  • Windows

要件

このコンポーネントには次の要件があります。

  • 次の IAM ポリシーの例で示されているように、Greengrass デバイスのロールsecretsmanager:GetSecretValue アクションを許可する必要があります。

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "secretsmanager:GetSecretValue" ], "Effect": "Allow", "Resource": [ "arn:aws:secretsmanager:region:123456789012:secret:MySecret" ] } ] }
    注記

    シークレットの暗号化にカスタマーマネージド AWS Key Management Service キーを使用する場合、デバイスロールは kms:Decryptアクションも許可する必要があります。

    Secrets Manager の IAMポリシーの詳細については、「AWS Secrets Manager ユーザーガイド」の以下を参照してください。

  • カスタムコンポーネントは、このコンポーネントで保存したシークレットを aws.greengrass#GetSecretValue が取得できるようにするための認可ポリシーを定義する必要があります。この認可ポリシーでは、コンポーネントのアクセスを特定のシークレットに制限できます。詳細については、「シークレットマネージャー IPC 認証」を参照してください。

  • (オプション) コアデバイスのプライベートキーと証明書を [hardware security module] (ハードウェアセキュリティモジュール) (HSM) に保存する場合、HSM は RSA キーをサポートし、プライベートキーには unwrap アクセス許可が必要で、パブリックキーには wrap アクセス許可が必要です。

エンドポイントおよびポート

このコンポーネントは、基本的な操作に必要なエンドポイントとポートに加えて、次のエンドポイントとポートに対し、アウトバウンドリクエストを実行できる必要があります。詳細については、「プロキシまたはファイアウォールを介したデバイストラフィックを許可する」を参照してください。

エンドポイント [ポート] 必要 説明

secretsmanager.region.amazonaws.com

443 はい

コアデバイスにシークレットをダウンロードします。

依存関係

コンポーネントをデプロイすると、 はその依存関係の互換性のあるバージョン AWS IoT Greengrass もデプロイします。つまり、コンポーネントを正常にデプロイするには、コンポーネントとその依存関係のすべての要件を満たす必要があります。このセクションでは、このコンポーネントのリリースされたバージョンの依存関係と、各依存関係に対するコンポーネントのバージョンを定義するセマンティックバージョン制約をリスト表示しています。コンポーネントの各バージョンの依存関係は、AWS IoT Greengrass コンソールでも確認できます。コンポーネントの詳細ページで [Dependencies] (依存関係) リストを確認します。

2.1.7 – 2.1.8

次の表に、このコンポーネントのバージョン 2.1.7 および 2.1.8 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.5.0 <2.13.0 ソフト
2.1.6

次の表に、このコンポーネントのバージョン 2.1.6 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.5.0 <2.12.0 ソフト
2.1.5

次の表に、このコンポーネントのバージョン 2.1.5 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.5.0 <2.11.0 ソフト
2.1.4

次の表に、このコンポーネントのバージョン 2.1.4 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.5.0 <2.10.0 ソフト
2.1.3

次の表に、このコンポーネントのバージョン 2.1.3 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.5.0 <2.9.0 ソフト
2.1.2

次の表に、このコンポーネントのバージョン 2.1.2 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.5.0 <2.8.0 ソフト
2.1.1

次の表に、このコンポーネントのバージョン 2.1.1 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.5.0 <2.7.0 ソフト
2.1.0

次の表に、このコンポーネントのバージョン 2.1.0 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.5.0 <2.6.0 ソフト
2.0.9

次の表に、このコンポーネントのバージョン 2.0.9 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.0.0 <2.5.0 ソフト
2.0.8

次の表に、このコンポーネントのバージョン 2.0.8 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.0.0 <2.4.0 ソフト
2.0.7

次の表に、このコンポーネントのバージョン 2.0.7 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.0.0 <2.3.0 ソフト
2.0.6

次の表に、このコンポーネントのバージョン 2.0.6 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.0.0 <2.2.0 ソフト
2.0.4 and 2.0.5

次の表に、このコンポーネントのバージョン 2.0.4 および 2.0.5 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.0.3 <2.1.0 ソフト

コンポーネントの依存関係の詳細については、「コンポーネント recipe のリファレンス」を参照してください。

構成

このコンポーネントには、コンポーネントのデプロイ時にカスタマイズできる次の設定パラメータが用意されています。

cloudSecrets

コアデバイスにデプロイする Secrets Manager シークレットのリスト。ラベルを指定して、デプロイする各シークレットのバージョンを定義できます。バージョンを指定しない場合、このコンポーネントはステージングラベル AWSCURRENT がアタッチされたバージョンをデプロイします。詳細については、「AWS Secrets Manager ユーザーガイド」の「ステージングラベル」を参照してください。

シークレットマネージャーコンポーネントは、シークレットをローカルにキャッシュします。Secrets Manager でシークレット値が変更された場合、このコンポーネントは新しい値を自動的に取得しません。ローカルコピーを更新するには、シークレットに新しいラベルを付け、新しいラベルで識別されるシークレットを取得するようにこのコンポーネントを設定します。

各オブジェクトには、次の情報が含まれます:

arn

デプロイするシークレットの ARN。シークレットの ARN は、完全な ARN でも部分的な ARN でもかまいません。部分的な ARN ではなく、完全な ARN を指定することをお勧めします。詳細については、「部分的な ARN からのシークレットの検索」を参照してください。以下は、完全な ARN と部分的な ARN の例です。

  • 完全な ARN: arn:aws:secretsmanager:us-east-2:111122223333:secret:SecretName-abcdef

  • 部分的な ARN: arn:aws:secretsmanager:us-east-2:111122223333:secret:SecretName

labels

(オプション) コアデバイスにデプロイするシークレットのバージョンを識別するためのラベルのリスト。

各ラベルは文字列である必要があります。

例: 設定マージの更新
{ "cloudSecrets": [ { "arn": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyGreengrassSecret-abcdef" } ] }

ローカルログファイル

このコンポーネントは、Greengrass nucleus コンポーネントと同じログファイルを使用します。

Linux
/greengrass/v2/logs/greengrass.log
Windows
C:\greengrass\v2\logs\greengrass.log
このコンポーネントのログを確認するには
  • コアデバイスに次のコマンドを実行して、このコンポーネントのログファイルをリアルタイムに確認します。/greengrass/v2 または C:\greengrass\v2 を AWS IoT Greengrass ルートフォルダへのパスに置き換えます。

    Linux
    sudo tail -f /greengrass/v2/logs/greengrass.log
    Windows (PowerShell)
    Get-Content C:\greengrass\v2\logs\greengrass.log -Tail 10 -Wait

変更ログ

次の表は、コンポーネントの各バージョンにおける変更を示します。

バージョン

変更

2.1.8

バグ修正と機能向上

シークレットマネージャーが ARN の一部を受け入れない問題を修正しました。

2.1.7

Greengrass nucleus バージョン 2.12.0 リリース用にバージョンが更新されました。

2.1.6

Greengrass nucleus バージョン 2.11.0 のリリース用にバージョンが更新されました。

2.1.5

Greengrass nucleus バージョン 2.10.0 のリリース用にバージョンが更新されました。

2.1.4

バグ修正と機能向上

シークレットマネージャーがデプロイされ、Greengrass nucleus が再起動されたときに、キャッシュされたシークレットが削除される問題を修正しました。

Greengrass nucleus バージョン 2.9.0 のリリース用にバージョンが更新されました。

2.1.3

Greengrass nucleus バージョン 2.8.0 のリリース用にバージョンが更新されました。

2.1.2

Greengrass nucleus バージョン 2.7.0 のリリース用にバージョンが更新されました。

2.1.1

Greengrass nucleus バージョン 2.6.0 のリリース用にバージョンが更新されました。

2.1.0

新機能
  • ハードウェアセキュリティ統合のサポートが追加されました。シークレットマネージャーコンポーネントは、ハードウェアセキュリティモジュール (HSM) に保存するプライベートキーを使用して、シークレットを暗号化および復号化できます。詳細については、「ハードウェアセキュリティ統合」を参照してください。

バグ修正と機能向上
  • Greengrass nucleus バージョン 2.5.0 のリリース用にバージョンが更新されました。

2.0.9

Greengrass nucleus バージョン 2.4.0 のリリース用にバージョンが更新されました。

2.0.8

Greengrass nucleus バージョン 2.3.0 のリリース用にバージョンが更新されました。

2.0.7

Greengrass nucleus バージョン 2.2.0 のリリース用にバージョンが更新されました。

2.0.6

Greengrass nucleus バージョン 2.1.0 のリリース用にバージョンが更新されました。

2.0.5

改良点
  • AWS 中国リージョンと AWS GovCloud (US) リージョンのサポートを追加します。

2.0.4

当初のバージョン