の認証とアクセスコントロール AWS Secrets Manager - AWS Secrets Manager
Secrets Manager 管理者のアクセス許可シークレットへのアクセス許可Lambda ローテーション関数のアクセス許可暗号化キーのアクセス許可レプリケーションのアクセス許可

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の認証とアクセスコントロール AWS Secrets Manager

Secrets Manager は AWS Identity and Access Management (IAM) を使用して、シークレットへのアクセスを保護します。IAM は認証とアクセスコントロールを提供します。認証は、リクエストを実行するアイデンティティを検証するものです。Secrets Manager は、パスワード、アクセスキー、および多要素認証 (MFA) トークンでのサインインプロセスを使用して、ユーザーのアイデンティティを検証します。「 へのサインイン AWS」を参照してください。アクセスコントロールは、シークレットなどの AWS リソースで、承認された個人のみがオペレーションを実行できるようにします。Secrets Manager は、ポリシーを使用して、リソースにアクセスできるユーザー、およびそのアイデンティティがそれらのリソースに対して実行できるアクションを定義します。IAM でのポリシーとアクセス許可を参照してください。

Secrets Manager 管理者のアクセス許可

Secrets Manager 管理者のアクセス許可を付与するには、[Adding and removing IAM identity permissions] (IAM アイデンティティのアクセス許可の追加および削除) をクリックし、次のポリシーをアタッチします。

エンドユーザーには管理者のアクセス許可を付与しないことをお勧めします。これを付与すると、ユーザーはシークレットを作成および管理できますが、ローテーションを有効にするために必要なアクセス許可 (IAMFullAccess) により、エンドユーザーには適切ではない重要なアクセス許可が付与されます。

シークレットへのアクセス許可

IAM アクセス許可ポリシーを使用すると、シークレットにアクセスできるユーザーまたはサービスを制御できます。アクセス許可のポリシーは、誰がどのアクションをどのリソースで実行できるかを示します。次のようにできます。

Lambda ローテーション関数のアクセス許可

Secrets Manager は、 AWS Lambda 関数を使用してシークレット をローテーションします。Lambda 関数には、シークレットと、シークレットにその認証情報が含まれているデータベースまたはサービスへのアクセス許可が必要です。ローテーションへのアクセス許可 を参照してください。

暗号化キーのアクセス許可

Secrets Manager は AWS Key Management Service (AWS KMS) キーを使用してシークレットを暗号化します。には、正しいアクセス許可 AWS マネージドキー aws/secretsmanagerが自動的に付与されます。別の KMS キーを使用する場合、Secrets Manager にはそのキーに対するアクセス許可が必要です。「KMS キーのアクセス許可」を参照してください。

レプリケーションのアクセス許可

IAM アクセス許可ポリシーを使用すると、シークレットを他のリージョンにレプリケートできるユーザーまたはサービスを制御します。AWS Secrets Manager レプリケーションの防止 を参照してください。