の開始方法AWS Secrets Manager - AWS Secrets Manager
SecretRotationVersionステージングラベル

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の開始方法AWS Secrets Manager

以下の概念は、Secrets Manager の仕組みを理解するうえで重要です。

Secret

Secrets Manager では、シークレットは、認証情報、ユーザー名、パスワードそしてデータベースまたは他のサービスにアクセスするための接続の詳細一式で構成されています。また、テキストまたはバイナリとしてシークレット内の他のタイプのシークレット情報を格納することもできます。1 つのシークレットに複数の値を保存するには、キーと値のペアを含む JSON テキスト文字列を使用することをお勧めします。 

{
  "host"       : "ProdServer-01.databases.example.com",
  "port"       : "8888",
  "username"   : "administrator",
  "password"   : "My-P@ssw0rd!F0r+Th3_Acc0unt",
  "dbname"     : "MyDatabase",
  "engine"     : "mysql"
}

シークレットにはメタデータがあります。

  • シークレットの名前、説明、Amazon リソースネーム (ARN)、リソースポリシー、タグ。

  • の ARN暗号化キー、AWS KMS keyシークレットマネージャーがシークレット値を暗号化および復号化するために使用する。Secrets Manager はシークレットテキストを暗号化された形式で格納し、転送中のシークレットを暗号化します。「シークレットの暗号化と復号」を参照してください。

  • 回転を設定した場合、シークレットを回転する方法に関する情報。「Rotation」を参照してください。

Secrets Manager は、IAM アクセス権限ポリシーを使用して、許可されたユーザーのみがシークレットにアクセスまたは変更できるようにします。「 の認証とアクセスコントロールAWS Secrets Manager」を参照してください。

シークレットにはバージョン暗号化されたシークレット値のコピーを保持します。シークレットの値を変更するか、シークレットがローテーションされると、Secrets Manager は新しいバージョンを作成します。「Version」を参照してください。

シークレットは、複数の AWS リージョン によってREPLIALそれ。シークレットを複製すると、元のコピーまたはプライマリシークレットを呼び出します。レプリカのシークレット。レプリカシークレットは、プライマリシークレットにリンクされたままです。「複数リージョン Secrets Manager のシークレットの作成と管理 」を参照してください。

シークレットを作成するには、シークレットを作成する

Rotation

ローテーションとは、定期的にシークレット情報を更新して、攻撃者が認証情報にアクセスするのをより困難にするプロセスです。Secrets Manager では、シークレットの自動ローテーションを設定できます。Secrets Manager がシークレットをローテーションすると、シークレットとデータベースまたはサービスの両方の資格情報を更新します。「シークレットの更新」を参照してください。

シークレットをローテーションするには Lambda シークレットSecrets Manager は回転関数。「Lambda 回転関数」を参照してください。

Version

シークレットにはバージョン暗号化されたシークレット値のコピーを保持します。シークレットの値を変更するか、シークレットがローテーションされると、Secrets Manager は新しいバージョンを作成します。シークレットには、常にステージングラベルを持つバージョンがありますAWSCURRENT現在のシークレット値である。「ステージングラベル」を参照してください。

Secrets Manager は、ステージングラベルのないバージョンを非推奨にし、100 を超える場合は削除します。Secrets Manager では、24 時間以内に作成されたバージョンは削除されません。

使用すると、AWS CLIまたはAWSシークレット値を取得するには、シークレットのバージョンを指定することができます。バージョン ID またはステージングラベルのいずれかでバージョンを指定しない場合、Secrets Manager はステージングラベルを持つバージョンを指定しますAWSCURRENTアタッチされた。

ステージングラベル

Secrets Manager はステージングラベルシークレットの異なるバージョンを識別します。シークレットには、常にステージングラベルを持つバージョンがありますAWSCURRENT。Secrets Manager は、ステージングラベルを使用します。AWSPENDING,AWSCURRENT, およびAWSPREVIOUSローテーション中。「回転のステップ」を参照してください。

シークレットには、最大 20 のステージングラベルをアタッチできます。シークレットの 2 つのバージョンは同じステージングラベルを持つことはできません。