AWS Secrets Manager で AWS KMS を使用する方法

AWS Secrets Manager は、シークレットを暗号化して保存し、それらを透過的に復号してプレーンテキストで返す、AWS のサービスです。これは定期的に変更され、ハードコードしたり、アプリケーションにプレーンテキストで保存したりするべきではないアプリケーションシークレット (ログイン認証情報など) を保存するために専用に設計されています。ハードコードされた資格情報またはテーブル参照の代わりに、アプリケーションは Secrets Manager を呼び出します。

Secrets Manager は、一般的に使用されるデータベースに関連付けられているシークレットを定期的にローテーションする機能もサポートしています。常に、保存する前に新しく更新されたシークレットを暗号化します。

Secrets Manager は AWS Key Management Service (AWS KMS) と統合されており、AWS KMS key で保護された一意のデータキーを使用して、すべてのシークレット値の全バージョンを暗号化します。この統合により、AWS KMS を暗号化されないままにしない暗号化キーにより、シークレットが保護されます。また、KMS キーにカスタムアクセス許可を設定し、シークレットを保護するデータキーを生成、暗号化、復号するオペレーションを監査することができます。

Secrets Manager が KMS キーを使用してシークレットを保護する方法の詳細については、AWS Secrets Manager ユーザーガイドのシークレットの暗号化と復号を参照してください。