を使用してシークレットAWS Lambdaをローテーションする - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用してシークレットAWS Lambdaをローテーションする

AWS Well-Architected Framework では、シークレットを安全に保存して使用することをお勧めします。このベストプラクティスでは、認証情報のローテーションを定期的に自動化することをお勧めします。ローテーションとは、定期的にシークレット情報を更新して、攻撃者が認証情報にアクセスするのをより困難にするプロセスです。多くのコンプライアンスフレームワークと規制では、シークレットのローテーションも必要です。

Terraform IaC では、 AWS Secrets Managerと を使用して自動ローテーションAWS Lambdaを確立できます。Secrets Manager では、シークレットの自動ローテーションを設定できます。Secrets Manager がシークレットをローテーションすると、シークレットおよびデータベースまたはサービスの認証情報が更新されます。

データベースの場合、Secrets Manager でプライマリ認証情報を管理し、シークレットを定期的にローテーションすることをお勧めします。Secrets Manager は、複数のタイプのデータベース認証情報用の Lambda のローテーション関数テンプレートを提供します。詳細については、Secrets Manager ドキュメントのAWS Secrets Manager「ローテーション関数テンプレート」および「」の「コードサンプル」を参照してください GitHub。シークレットまたは機密データをローテーションするために使用できる Terraform IaC の例を次に示します。

resource "aws_secretsmanager_secret_rotation" "createrotation" { count = var.needrotation == true ? 1 : 0 secret_id = aws_secretsmanager_secret.initiatesecret.id rotation_lambda_arn = aws_lambda_function.rotationlambda.arn rotation_rules { automatically_after_days = 1 } }

次のアーキテクチャ図は、Secrets Manager、Amazon VPC エンドポイント、Lambda 関数を使用して、 で機密データをローテーションする方法を示していますAWS アカウント。


        Lambda を使用して でシークレットをローテーションする AWS Secrets Manager