「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」
AWS Secrets Manager ベストプラクティス
次の推奨事項は、AWS Secrets Manager をより安全に使用するのに役立ちます。
トピック
- その他の機密情報の保護
- AWS 提供されているクライアント側のキャッシュコンポーネントを使用してパフォーマンスを向上させる
- アプリケーションに再試行を追加する
- Lambda 関数のログ記録とデバッグのリスクを軽減する
- AWS CLI を使用してシークレットを保存するリスクを軽減する
- クロスアカウントアクセス ユーザー/ロールまたはアカウント–を指定する必要がありますか?
- VPC ですべてを実行する
- シークレットのタグ付け
- スケジュールでのシークレットの更新
- シークレットへのアクセスの監査
- を使用したシークレットのモニタリング AWS Config
- Secrets Manager を使用して Lambda 関数にデータベース認証情報を提供する
- ベストプラクティスに関するその他のリソース
その他の機密情報の保護
シークレットには、ユーザー名とパスワード以外の情報も含まれていることがよくあります。データベース、サービス、またはウェブサイトによっては、機密データを追加することもできます。このデータには、パスワードのヒントや、パスワードの復旧に使用できる質問と答えなどが含まれています。
シークレット内の認証情報にアクセスするために使用される可能性のある情報は、認証情報そのものと同じように安全に保護してください。そのような情報を、シークレットの Description など、暗号化されていない部分に保存しないでください。
代わりに、すべての機密情報は、暗号化されたシークレット値の一部としてSecretString または SecretBinary フィールドに保存します。シークレットには最大 65536 バイトを保存できます。以下の例に示すとおり、SecretString フィールドでは、テキストは通常 JSON のキーと値のペアの形式をとります。
{ "engine": "mysql", "username": "user1", "password": "i29wwX!%9wFV", "host": "my-database-endpoint.us-east-1.rds.amazonaws.com", "dbname": "myDatabase", "port": "3306" }
