AWS Lambda を使用してシークレットを更新する

AWS Well-Architected フレームワークでは、シークレットを安全に保存して使用することを推奨しています。このベストプラクティスでは、認証情報のローテーションを定期的に自動化することをお勧めします。ローテーションとは、定期的にシークレット情報を更新して、攻撃者が認証情報にアクセスするのをより困難にするプロセスです。多くのコンプライアンスフレームワークと規制では、シークレットの更新も必要です。

Terraform IaC では、 AWS Secrets Manager と AWS Lambda を使用して自動ローテーションを確立できます。Secrets Manager では、シークレットの自動ローテーションを設定できます。Secrets Manager がシークレットをローテーションすると、シークレットおよびデータベースまたはサービスの認証情報が更新されます。

データベースの場合、Secrets Manager でプライマリ認証情報を管理し、シークレットを定期的にローテーションすることをお勧めします。Secrets Manager は、複数のタイプのデータベース認証情報用の Lambda のローテーション関数テンプレートを提供します。詳細については、Secrets Manager ドキュメントのAWS Secrets Manager 「ローテーション関数テンプレート」およびGitHub」の「コードサンプル」を参照してください。以下は、シークレットまたは機密データをローテーションするために使用できる Terraform IaC の例です。


resource "aws_secretsmanager_secret_rotation" "createrotation" {
  count               = var.needrotation == true ? 1 : 0
  secret_id           = aws_secretsmanager_secret.initiatesecret.id
  rotation_lambda_arn = aws_lambda_function.rotationlambda.arn

  rotation_rules {
    automatically_after_days = 1
  }
}

次のアーキテクチャ図は、Secrets Manager、Amazon VPC エンドポイント、Lambda 関数を使用しての機密データをローテーションする方法を示しています AWS アカウント。

Lambda を使用したでのシークレットのローテーション AWS Secrets Manager

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ランダムなパスワードの生成

アクセスの制限