の認証とアクセスコントロール AWS Secrets Manager

Secrets Manager は AWS Identity and Access Management (IAM) を使用して、シークレットへのアクセスを保護します。IAM は認証とアクセスコントロールを提供します。認証は、リクエストを実行するアイデンティティを検証するものです。Secrets Manager は、パスワード、アクセスキー、および多要素認証 (MFA) トークンでのサインインプロセスを使用して、ユーザーのアイデンティティを検証します。「サインイン AWS」を参照してください。アクセスコントロールは、シークレットなどの AWS リソースで、承認された個人のみがオペレーションを実行できるようにします。Secrets Manager は、ポリシーを使用して、リソースにアクセスできるユーザー、およびそのアイデンティティがそれらのリソースに対して実行できるアクションを定義します。IAM でのポリシーとアクセス許可を参照してください。

トピック

• のアクセス許可リファレンス AWS Secrets Manager

• Secrets Manager 管理者のアクセス許可

• シークレットへのアクセス許可

• Lambda ローテーション関数のアクセス許可

• 暗号化キーのアクセス許可

• レプリケーション権限

• アイデンティティベースのポリシー

• リソースベースのポリシー

• 属性ベースのアクセス制御 (ABAC) を使用してシークレットへのアクセスを制御する

• AWS の マネージドポリシー AWS Secrets Manager

• シー AWS Secrets Manager クレットへのアクセス許可を持つユーザーを特定する

• 別のアカウントから AWS Secrets Manager シークレットにアクセスする

• オンプレミス環境からシークレットにアクセスする

のアクセス許可リファレンス AWS Secrets Manager

Secrets Manager のアクセス許可リファレンスは、サービス認証リファレンスの AWS Secrets Managerのアクション、リソース、条件キーで利用できます。

Secrets Manager 管理者のアクセス許可

Secrets Manager 管理者のアクセス許可を付与するには、[Adding and removing IAM identity permissions] (IAM アイデンティティのアクセス許可の追加および削除) をクリックし、次のポリシーをアタッチします。

• SecretsManagerReadWrite

• IAMFullAccess

エンドユーザーには管理者のアクセス許可を付与しないことをお勧めします。これを付与すると、ユーザーはシークレットを作成および管理できますが、ローテーションを有効にするために必要なアクセス許可 (IAMFullAccess) により、エンドユーザーには適切ではない重要なアクセス許可が付与されます。

シークレットへのアクセス許可

IAM アクセス許可ポリシーを使用すると、シークレットにアクセスできるユーザーまたはサービスを制御できます。アクセス許可のポリシーは、誰がどのアクションをどのリソースで実行できるかを示します。次のようにできます：

• アイデンティティベースのポリシー

• リソースベースのポリシー

Lambda ローテーション関数のアクセス許可

Secrets Manager は AWS Lambda 関数を使用してシークレットをローテーションします。Lambda 関数には、シークレットと、シークレットにその認証情報が含まれているデータベースまたはサービスへのアクセス許可が必要です。「ローテーションへのアクセス許可」を参照してください。

暗号化キーのアクセス許可

Secrets Manager は AWS Key Management Service （AWS KMS) キーを使用してシークレットを暗号化します。 AWS マネージドキー aws/secretsmanager は自動的に正しいアクセス許可を持ちます。別の KMS キーを使用する場合、Secrets Manager にはそのキーに対するアクセス許可が必要です。「KMS キーのアクセス許可」を参照してください。

レプリケーション権限

IAM アクセス許可ポリシーを使用すると、どのユーザーまたはサービスがシークレットを他のリージョンに複製できるかを制御できます。「AWS Secrets Manager レプリケーションの防止」を参照してください。