AWS Secrets Manager の認証とアクセスコントロール - AWS Secrets Manager

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS Secrets Manager の認証とアクセスコントロール

AWS Secrets Manager へのアクセスには、AWS 認証情報が必要です。これらの認証情報には、Secrets Manager のシークレットなど、アクセスする AWS リソースにアクセスするためのアクセス許可が含まれている必要があります。次のセクションでは、AWS Identity and Access Management (IAM) ポリシーを使用して、シークレットに安全にアクセスし、アクセスして管理できるユーザーを制御する方法について詳しく説明します。

シークレットには非常に機密性の高い情報が含まれているため、シークレットへのアクセスは厳密に制御する必要があります。AWS および IAM アクセス許可ポリシーのアクセス許可機能を使用すると、シークレットにアクセスできるユーザーまたはサービスを管理できます。承認済みのシークレットでユーザーが実行できる API、CLI、およびコンソールオペレーションを指定できます。IAM ポリシー言語の細分化されたアクセス機能を利用することで、タグをフィルターして使用して、ユーザーをシークレット—のサブセットのみに制限することも、個別のシークレット—に制限することもできます。また、フィルターとしてステージングラベルを使用することで、特定のバージョンのシークレットにユーザーを制限することもできます。

また、シークレットを管理できるユーザーを決定することもできます。シークレットおよび関連するメタデータを更新または変更するユーザーを指定します。AWS Secrets Manager サービスに対する管理者アクセス権限がある場合は、他のユーザーにアクセス許可を付与することで、 Secrets Manager タスクへのアクセスを委任できます。

ユーザー、グループ、ロールにアクセス許可ポリシーをアタッチし、アタッチされた ID がアクセスできるシークレットを指定できます。Secrets Manager では、このプロセスはアイデンティティベースのポリシーと呼ばれています。または、アクセス許可ポリシーをシークレットに直接アタッチして、それに対するアクセスを指定することもできます。Secrets Manager では、このプロセスはリソースベースのポリシーと呼ばれています。どちらの方法でも、これらのポリシーは、各プリンシパルがシークレットに対して実行できるアクションを指定します。

IAM アクセス権限ポリシーの一般的な情報については、『IAM』の「IAM ユーザーガイド ポリシーの概要」を参照してください。

AWS Secrets Manager で専用に使用できるアクセス許可については、「IAM の AWS Secrets Manager ポリシー、またはシークレットポリシーで使用できるアクション、リソースおよびコンテキストキー。」を参照してください。

以下のセクションでは、AWS Secrets Manager のアクセス権限を管理する方法について説明します。最初に概要のセクションを読むことをお勧めします。