AmazonはAWS Secrets Managerの提供開始を発表した。これにより、顧客がAPIやAWS Command Line Interface(CLI)を使用してシークレットを簡単に格納および取得できるようになる。さらに、顧客は、組み込みのスケジュール機能やカスタムのラムダ関数を使用して資格情報をローテーションできる。AWS Secrets Managerを使用すると、分散サービスと分散アプリケーションのシークレット管理を一元化できる。
AWS Secrets Managerは、Amazonがセキュリティとコンプライアンスのために提供している新しいツール/サービスの1つである。このサービスによって、データベース認証情報、パスワード、APIキーの管理が簡単になる。San Franciscoで開催されたAWS Summitで、AmazonのCTOであるWerner Vogel氏は、次の通り述べている。
決してコードにシークレットを入れてはいけません。Secrets Managerによって、これまで以上に安全なシステムを構築することができます。
AWS Secrets Managerのユーザは、きめ細かなポリシーを使用してシークレットへのアクセスを管理し、シークレットのライフサイクルを制御し、シークレットを一元的に保護し、監査することができる。さらに、これは従量課金モデルで、ほとんどのリージョンで利用可能なマネージドサービスである。
シークレットを保存する一般的な方法は、AWS Secrets Managerコンソールを使用することである。ユーザは、ウィザードのプロセスを通して、データベース資格情報やその他のシークレットのように、シークレットを保存することができる。
ウィザードでは、ユーザにシークレットの種類の選択、名前と説明の指定、シークレットのローテーションの設定、および詳細の確認を有効にするよう案内する。さらに、最後のレビューステップでは、シークレットの格納と取得のための、Java、JavaScript、Pythonのサンプルコードも表示される。ユーザがシークレットを格納した後は、シークレットまたはそのローテーションを編集することでシークレットを操作することができる。Secret Managerのローテーション機能は、ユーザが指定したスケジュールで設定されるか、シークレットをローテーションする権限を持つLambda関数によって設定される。Lambda関数を使用すると、ユーザはシークレットのローテーションを柔軟にできる。
MicrosoftやGoogleなどの他のパブリッククラウドプロバイダは、シークレットの一元管理を提供している。AWS Secrets Managerと同様に、Azure Key Vaultは、ポリシーを持つシークレットの格納と管理、そして.NETコードを使用したシークレットにアクセスする機能を提供する。ただし、Azure Key Vaultにはローテーション機能が組み込まれておらず、Azure Functionと直接インテグレーションすることもできない。Azure Key Vaultを使用すると、シークレットのローテーションが手動で行われたり、API呼び出しやスクリプトによって自動化される。Azure Key Vaultはシークレットを管理する以上のものを提供する。それは、暗号化キーの管理である。Google Cloud Platformは、Cloud KMSを通じてシークレットの制御を提供する。Cloud KMSでは、ポリシーやローテーションを含むシークレットの格納と管理ができる。また、このサービスには、Azure Key Vaultのように、暗号化キーの管理ができる。しかし、Amazonは、キーマネージメントのために別のサービスであるKey Management Service (KMS)を提供している。
Rate this Article
- Editor Review
- Chief Editor Action