認証情報やその他の機密情報をに保存する AWS Secrets Manager コード内の保護されていないシークレットを検索するシークレットの暗号化キーを選択するキャッシュを使用してシークレットを取得するシークレットのローテーション CLI を使用するリスクを軽減するシークレットへのアクセスを制限するシークレットをレプリケートするシークレットを監視するプライベートネットワークでインフラストラクチャを実行する

AWS Secrets Manager ベストプラクティス

Secrets Manager には、独自のセキュリティポリシーを開発および実装する際に考慮が必要ないくつかのセキュリティ機能が用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを提供するものではありません。これらのベストプラクティスはお客様の環境に必ずしも適切または十分でない可能性があるため、処方箋ではなく、あくまで有用な検討事項とお考えください。

認証情報やその他の機密情報をに保存する AWS Secrets Manager

Secrets Manager は、セキュリティ体制とコンプライアンスを改善し、機密情報への不正アクセスのリスクを軽減するのに役立ちます。Secrets Manager は、 AWS Key Management Service () で所有および保存する暗号化キーを使用して、保管中のシークレットを暗号化しますAWS KMS。シークレットを取得すると、Secrets Manager はシークレットを復号化し、TLS 経由でローカル環境にセキュアに送信します。詳細については、「AWS Secrets Manager シークレットを作成する」を参照してください。

コード内の保護されていないシークレットを検索する

CodeGuru Reviewer は Secrets Manager と統合され、シークレットディテクターを使用して、コード内の保護されていないシークレットを探します。シークレットディテクターは、ハードコードされたパスワード、データベース接続文字列、ユーザー名などを検索します。詳細については、「Amazon CodeGuru Reviewer を使って、コードの中の保護されていないシークレットを見つける」を参照してください。

Amazon Q は、コードベースをスキャンしてセキュリティの脆弱性やコード品質の問題を確認し、開発サイクル全体でアプリケーションの体制を改善できます。詳細については、「Amazon Q Developer ユーザーガイド」の「Amazon Q でコードをスキャン」を参照してください。

シークレットの暗号化キーを選択する

ほとんどの場合、 aws/secretsmanager AWS マネージドキーを使用してシークレットを暗号化することをお勧めします。この使用には費用は発生しません。

別のアカウントからシークレットにアクセスしたり、暗号化キーにキーポリシーを適用したりするには、カスタマーマネージドキーを使用してシークレットを暗号化します。

キーポリシーで、値を secretsmanager.<region>.amazonaws.com kms:ViaService 条件キーに割り当てます。これにより、キーの使用が Secrets Manager からのリクエストのみに制限されます。
キーの使用をさらに制限して、正しいコンテキストを持つ Secrets Manager からのリクエストのみを使用するには、以下を作成して KMS キーを使用する条件として Secrets Manager 暗号化コンテキストのキーまたは値を使用します。
- IAM ポリシーまたはキーポリシーの文字列条件演算子
- 許可における権限の制約

詳細については、「AWS Secrets Manager のシークレット暗号化と復号」を参照してください。

キャッシュを使用してシークレットを取得する

シークレットを最も効率的に使用するには、サポートされている次のいずれかの Secrets Manager キャッシュコンポーネントを使用してシークレットをキャッシュし、必要な場合にのみ更新することをお勧めします。

クライアント側のキャッシュを使用した Java
クライアント側のキャッシュを使用した Python
クライアント側のキャッシュを使用した .NET
クライアント側のキャッシュを使用した Go
クライアント側のキャッシュを使用した Rust
AWS パラメータとシークレット Lambda 拡張機能
Amazon Elastic Kubernetes Service で AWS Secrets Manager シークレットを使用する
AWS Secrets Manager エージェントを使用して、Amazon Elastic Container Service AWS Lambda、Amazon Elastic Kubernetes Service、Amazon Elastic Compute Cloud などの環境全体で Secrets Manager からのシークレットの使用を標準化します。

シークレットのローテーション

シークレットを長期間変更しないと、シークレットが侵害される可能性が高くなります。Secrets Manager を使用すると、4 時間ごとに自動ローテーションを設定することができます。Secrets Manager には、シングルユーザーと交代ユーザーの 2 つのローテーション戦略が用意されています。詳細については、「AWS Secrets Managerシークレットのローテーション」を参照してください。

CLI を使用するリスクを軽減する

を使用して AWS オペレーション AWS CLI を呼び出す場合は、コマンドシェルにそれらのコマンドを入力します。ほとんどのコマンドシェルには、ログ記録や最後に入力したコマンドを表示する機能など、シークレットを危険にさらす可能性のある機能があります。 AWS CLI を使用して機密情報を入力する前に、必ずを使用して AWS CLIAWS Secrets Manager シークレットを保存するリスクを軽減するを確認してください。

シークレットへのアクセスを制限する

シークレットへのアクセスを制御する IAM ポリシーステートメントでは、最小特権アクセスの原則を使用します。IAM ロールとポリシー、リソースポリシー、属性ベースのアクセス制御 (ABAC) を使用できます。詳細については、「の認証とアクセスコントロール AWS Secrets Manager」を参照してください。

トピック

シークレットへの広範なアクセスをブロックする
ポリシーの IP アドレス条件に注意する
VPC エンドポイント条件でリクエストを制限する

シークレットへの広範なアクセスをブロックする

アクション PutResourcePolicy を許可するアイデンティティポリシーでは、BlockPublicPolicy: true を使用することをお勧めします。この条件は、ポリシーが広範なアクセスを許可していない場合、ユーザーがリソースポリシーのみをシークレットにアタッチできることを意味します。

Secrets Manager は、Zelkova の自動推論を使用して、広範なアクセスのためのリソースポリシーを分析します。Zelkova の詳細については、 AWS セキュリティブログの「が自動推論 AWS を使用して大規模なセキュリティを実現する方法」を参照してください。

次の例は、BlockPublicPolicy の使用方法を示しています。


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": "secretsmanager:PutResourcePolicy",
        "Resource": "SecretId",
        "Condition": {
            "Bool": {
                "secretsmanager:BlockPublicPolicy": "true"
            }
        }
    }
}

ポリシーの IP アドレス条件に注意する

Secrets Manager へのアクセスを許可または拒否するポリシーステートメントで、IP アドレス条件の演算子または aws:SourceIp 条件キーを指定するときは、注意が必要です。例えば、企業ネットワークの IP アドレス範囲からのリクエストに AWS アクションを制限するポリシーをシークレットにアタッチすると、企業ネットワークからリクエストを呼び出す IAM ユーザーとしてのリクエストは期待どおりに機能します。ただし、Lambda 関数でローテーションを有効にする場合など、他のサービスがユーザーに代わってシークレットにアクセスできるようにすると、その関数は AWS内部アドレス空間から Secrets Manager オペレーションを呼び出します。IP アドレスのフィルターがあるポリシーによって影響されたリクエストは失敗します。

また、リクエストが Amazon VPC エンドポイントから送信されている場合、aws:sourceIP 条件キーは効果が低下します。特定の VPC エンドポイントに対するリクエストを制限するには、VPC エンドポイント条件でリクエストを制限するを使用します。

VPC エンドポイント条件でリクエストを制限する

特定の VPC または VPC エンドポイントからのリクエストに対するアクセスを許可または拒否するには、aws:SourceVpc を使用して、指定された VPC からのリクエストに対するアクセスを制限するか、aws:SourceVpce を使用して、指定された VPC エンドポイントからのリクエストに対するアクセスを制限します。「例: アクセス許可と VPC」を参照してください。

aws:SourceVpc は、指定した VPC からのリクエストにアクセスを制限します。
aws:SourceVpce は、指定した VPC エンドポイントからのリクエストにアクセスを制限します。

これらの条件キーをシークレットポリシーステートメントで使用し、Secrets Manager シークレットへのアクセスを許可または拒否すると、ユーザーに代わってシークレットへのアクセスに Secrets Manager を使用しているサービスへのアクセスを、意図せずに拒否してしまうことがあります。VPC 内のエンドポイントで実行できるのは一部の AWS サービスのみです。シークレットのリクエストを VPC または VPC エンドポイントに制限すると、サービスに設定されていないサービスからの Secrets Manager への呼び出しは失敗します。

「エンドポイントの使用 AWS Secrets Manager VPC 」を参照してください。

シークレットをレプリケートする

Secrets Manager は、障害耐性またはディザスタリカバリの要件を満たすために、シークレットを複数の AWS リージョンに自動的にレプリケートできます。詳細については、「リージョン間で AWS Secrets Manager シークレットをレプリケートする」を参照してください。

シークレットを監視する

Secrets Manager では、 AWS ログ記録、モニタリング、通知サービスとの統合を通じて、シークレットを監査およびモニタリングできます。詳細については、以下を参照してください。

プライベートネットワークでインフラストラクチャを実行する

パブリックインターネットからアクセスできないプライベートネットワーク上で、できるだけ多くのインフラストラクチャを実行することをお勧めします。VPC と Secrets Manager とのプライベート接続は、インターフェイス VPC エンドポイントを作成すると、確立できます。詳細については、「エンドポイントの使用 AWS Secrets Manager VPC 」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Secrets Manager にアクセスする

チュートリアル