Lambda ローテーション関数 - AWS Secrets Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Lambda ローテーション関数

Lambda 関数によるローテーション では、Lambda 関数はシークレットをローテーションする作業を行います。ローテーション中、Secrets Manager はステージングラベルを使用して、シークレットのバージョンにラベル付けを行います。

Secrets Manager がシークレットタイプに合ったローテーション関数テンプレートを提供していない場合は、ローテーション関数を作成できます。ローテーション関数を記述する場合は、各ステップのガイダンスに従ってください。

独自のローテーション関数を記述するためのヒント
  • 汎用ローテーションテンプレートを元に、独自のローテーション関数を作成します。

  • 関数を記述する場合、デバッグステートメントまたはロギングステートメントの記述に細心の注意を払ってください。これらのステートメントを含めることで、関数内の情報が Amazon CloudWatch に書き込まれる場合があるため、開発中に収集された機密情報がログに含まれていないことを確認する必要があります。

    ログステートメントの例については、AWS Secrets Manager ローテーション関数のテンプレート のソースコードを参照してください。

  • セキュリティ上の理由から、Secrets Manager では、Lambda ローテーション関数が直接シークレットをローテーションすることのみを許可しています。ローテーション関数では、2 つ目の Lambda 関数を呼び出してシークレットをローテーションすることはできません。

  • デバッグの提案については、「サーバーレスアプリケーションのテストとデバッグ」を参照してください。

  • 例えば、外部バイナリやライブラリを使用してリソースに接続する場合は、パッチを適用して最新の状態に保つ必要があります。

  • ローテーション関数は、必要な依存関係と共に ZIP ファイル [my-function.zip] に保存します。

ローテーション関数の 4 つのステップ

create_secret: シークレットの新しいバージョンを作成する

メソッド create_secret は、まず渡された ClientRequestTokenget_secret_value を呼び出して、シークレットが存在するかどうかを確認します。シークレットがない場合は、create_secret とトークンを VersionId として新しいシークレットを作成します。その後、get_random_password を使用して新しいシークレット値を生成します。次に put_secret_value を呼び出し、ステージングラベル AWSPENDING で保存します。新しいシークレット値を AWSPENDING に格納することで、冪等性を確保することができます。何らかの理由でローテーションが失敗した場合は、その後の呼び出しでそのシークレット値を参照できます。詳細については、「Lambda 関数を冪等にするにはどうすればよいですか?」を参照してください。

独自のローテーション関数を記述するためのヒント
  • 新しいシークレット値には、データベースまたはサービスで有効な文字のみが含まれていることを確認する必要があります。ExcludeCharacters のパラメータを使用して文字を除外します。

  • 関数をテストするときは、AWS CLI を使用してバージョンステージを確認します。describe-secret を呼び出し、VersionIdsToStages を確認してください。

  • Amazon RDS MySQL の場合、交代ユーザーローテーションでは Secrets Manager が 16 文字以下の名前のクローンユーザーを作成します。ローテーション関数を変更して、長いユーザー名を許可することができます。MySQL バージョン 5.7 以降では最大 32 文字のユーザー名がサポートされていますが、Secrets Manager ではユーザー名の末尾に「_clone」(6 文字) が追加されるため、ユーザー名は最大 26 文字にする必要があります。

set_secret: データベースまたはサービスの認証情報を変更する

メソッド set_secret は、データベースやサービス内の認証情報を、AWSPENDING のバージョンの新しいシークレット値と一致するように変更します。

独自のローテーション関数を記述するためのヒント
  • データベースなど、ステートメントを解釈するサービスにステートメントを渡す場合は、クエリパラメータ化を使用します。詳細については、OWASP ウェブサイトの「Query Parameterization Cheat Sheet」を参照してください。

  • ローテーション機能は、Secrets Manager のシークレットとターゲットリソースの両方にある顧客認証情報にアクセスして変更する権限を持つ特権的な代理プログラムです。混乱した代理攻撃を防ぐには、攻撃者がこの関数を使用して他のリソースにアクセスできないようにする必要があります。認証情報を更新する前に:

    • シークレットの AWSCURRENT バージョンの認証情報が有効であることを確認してください。AWSCURRENT の認証情報が有効でない場合は、ローテーションの試行を中止してください。

    • AWSCURRENTAWSPENDING のシークレット値が同じリソース用であることを確認してください。ユーザー名とパスワードについては、AWSCURRENTAWSPENDING のユーザー名が同じであることを確認してください。

    • 送信先のサービスリソースが同じであることを確認してください。データベースの場合、AWSCURRENTAWSPENDING のホスト名が同じであることを確認してください。

  • まれに、データベースの既存のローテーション関数のカスタマイズが必要な場合があります。例えば、交代ユーザーローテーションの場合、Secrets Manager は最初のユーザーのランタイム設定パラメータをコピーしてクローンユーザーを作成します。さらに属性を追加したり、クローンユーザーに付与する属性を変更したりする場合は、set_secret 関数のコードを更新する必要があります。

test_secret: 新しいシークレットバージョンをテストする

次に、Lambda ローテーション関数は、データベースまたはサービスにアクセスすることで、シークレットの AWSPENDING バージョンをテストします。ローテーション関数のテンプレート に基づくローテーション関数では、読み取りアクセスを使用して、新しいシークレットをテストします。

finish_secret: ローテーションを終了する

最後に、Lambda ローテーション関数はラベル AWSCURRENT を以前のシークレットバージョンからこのバージョンに移動します。これにより、同じ API コール内の AWSPENDING ラベルも削除されます。Secrets Manager は、以前のバージョンに対しステージングラベル AWSPREVIOUS を付加します。これにより、シークレットの最後の有効なバージョンが保持されます。

メソッド finish_secret は、update_secret_version_stage を使用して、ステージングラベル AWSCURRENT を以前のシークレットバージョンから新しいシークレットバージョンに移動します。Secrets Manager は、以前のバージョンに対しステージングラベル AWSPREVIOUS を自動的に付加します。これにより、シークレットの最後の有効なバージョンが保持されます。

独自のローテーション関数を記述するためのヒント
  • この時点より前に AWSPENDING を削除したり、別の API コールを使用して削除したりしないでください。これは、Secrets Manager にとっては、ローテーションが正常に完了しなかったことを意味する可能性があるからです。Secrets Manager は、以前のバージョンに対しステージングラベル AWSPREVIOUS を付加します。これにより、シークレットの最後の有効なバージョンが保持されます。

ローテーションが成功すると、AWSPENDING ステージングラベルは AWSCURRENT バージョンと同じバージョンにアタッチされるか、どのバージョンにもアタッチされない可能性があります。AWSPENDING ステージングラベルは存在するが、AWSCURRENT と同じバージョンにアタッチされていない場合、それ以降に呼び出されたローテーションでは、以前のローテーションリクエストがまだ進行中であるとみなされ、エラーが返されます。ローテーションに失敗すると、AWSPENDING ステージングラベルはバージョンが空のシークレットにアタッチされる可能性があります。詳細については、「ローテーションのトラブルシューティング」を参照してください。