Terraform 状態ファイルでの機密データの保護

このセクションでは、 と呼ばれるTerraform状態ファイル内の機密データを処理するためのシークレットとポインタの難読化について説明しますtfstate。通常、これはTerraformデプロイに関するデータを含むプレーンテキストファイルであり、デプロイされたインフラストラクチャに関する機密データと非機密データが含まれます。機密データは、Terraform状態ファイルのプレーンテキストで表示されます。機密データを保護するために、以下を実行します。

• シークレットを取り込むときは、シークレットをすぐにローテーションすることを選択します。詳細については、Secrets Manager ドキュメントの「シーAWS Secrets Managerクレットをすぐにローテーションする」を参照してください。

• Secrets Manager を操作する一元的な AWS アカウント にTerraform状態ファイルを保存します。ファイルを Amazon Simple Storage Service (Amazon S3) バケットに保存し、アクセスを制限するポリシーを設定します。詳細については、「バケットポリシーとユーザーポリシー」を参照してください。Amazon S3 ドキュメントのを参照してください。

• Amazon DynamoDB テーブルを使用して、Terraform状態ファイルをロックしたままにします。これにより、ファイルの破損を防ぐことができます。詳細については、 Terraformドキュメントの「S3 バックエンド」を参照してください。