シークレットマネージャー - AWS IoT Greengrass
バージョンTypeオペレーティングシステム要件依存関係設定ローカルログファイル変更ログ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

シークレットマネージャー

シークレットマネージャーコンポーネント (aws.greengrass.SecretManager) は、 AWS Secrets Manager から Greengrass コアデバイスにシークレットをデプロイします。このコンポーネントを使用して、Greengrass コアデバイスのカスタムコンポーネントでパスワードなどの認証情報を安全に使用します。Secrets Manager の詳細については、「AWS Secrets Manager ユーザーガイド」の「AWS Secrets Managerとは」を参照してください。

カスタム Greengrass コンポーネントのこのコンポーネントのシークレットにアクセスするには、 の GetSecretValueオペレーションを使用します AWS IoT Device SDK。詳細については、を使用して Greengrass nucleus、他のコンポーネント、および と AWS IoT Device SDK 通信する AWS IoT Coreおよびシークレット値を取得するを参照してください。

このコンポーネントは、コアデバイスのシークレットを暗号化して、認証情報およびパスワードを使用する必要があるまで安全に保ちます。コアデバイスのプライベートキーを使用して、シークレットを暗号化および復号化します。

バージョン

このコンポーネントには、次のバージョンがあります。

  • 2.2.x

  • 2.1.x

  • 2.0.x

Type

このコンポーネントはプラグインコンポーネント (aws.greengrass.plugin) です。Greengrass nucleus は、nucleus と同じ Java 仮想マシン (JVM) でこのコンポーネントを実行します。コアデバイスでこのコンポーネントのバージョンを変更するとき、nucleus が再起動します。

このコンポーネントは、Greengrass nucleus と同じログファイルを使用します。詳細については、「AWS IoT Greengrass ログのモニタリング」を参照してください。

詳細については、「コンポーネントタイプ」を参照してください。

オペレーティングシステム

このコンポーネントは、次のオペレーティングシステムを実行するコアデバイスにインストールできます。

  • Linux

  • Windows

要件

このコンポーネントには次の要件があります。

  • 次のIAMポリシー例に示すように、Greengrass デバイスロールsecretsmanager:GetSecretValueアクションを許可する必要があります。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:secretsmanager:region:123456789012:secret:MySecret"
      ]
    }
  ]
}
    注記

    カスタマーマネージド AWS Key Management Service キーを使用してシークレットを暗号化する場合、デバイスロールは kms:Decryptアクションも許可する必要があります。

    Secrets Manager のIAMポリシーの詳細については、 AWS Secrets Manager ユーザーガイドの以下を参照してください。

  • カスタムコンポーネントは、このコンポーネントで保存したシークレットを aws.greengrass#GetSecretValue が取得できるようにするための認可ポリシーを定義する必要があります。この認可ポリシーでは、コンポーネントのアクセスを特定のシークレットに制限できます。詳細については、「シークレットマネージャーIPCの承認」を参照してください。

  • (オプション) コアデバイスのプライベートキーと証明書をハードウェアセキュリティモジュール (HSM) に保存する場合、 HSMはRSAキーをサポートしている必要があり、プライベートキーには アクセスunwrap許可が必要で、パブリックキーには アクセスwrap許可が必要です。

エンドポイントおよびポート

このコンポーネントは、基本的な操作に必要なエンドポイントとポートに加えて、次のエンドポイントとポートに対し、アウトバウンドリクエストを実行できる必要があります。詳細については、「プロキシまたはファイアウォールを介したデバイストラフィックを許可する」を参照してください。

エンドポイント ポート 必要 説明

secretsmanager.region.amazonaws.com

 443 あり

コアデバイスにシークレットをダウンロードします。

依存関係

コンポーネントをデプロイすると、 はその依存関係の互換性のあるバージョン AWS IoT Greengrass もデプロイします。つまり、コンポーネントを正常にデプロイするには、コンポーネントとその依存関係のすべての要件を満たす必要があります。このセクションでは、このコンポーネントのリリースされたバージョンの依存関係と、各依存関係に対するコンポーネントのバージョンを定義するセマンティックバージョン制約をリスト表示しています。コンポーネントの各バージョンの依存関係は、AWS IoT Greengrass コンソールでも確認できます。コンポーネントの詳細ページで [Dependencies] (依存関係) リストを確認します。

2.2.2

次の表に、このコンポーネントのバージョン 2.2.2 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.5.0 <2.15.0 ソフト
2.2.0

次の表に、このコンポーネントのバージョン 2.2.0 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.13.0 <2.14.0 ソフト
2.1.7 – 2.1.8

次の表に、このコンポーネントのバージョン 2.1.7 および 2.1.8 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.5.0 <2.13.0 ソフト
2.1.6

次の表に、このコンポーネントのバージョン 2.1.6 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.5.0 <2.12.0 ソフト
2.1.5

次の表に、このコンポーネントのバージョン 2.1.5 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.5.0 <2.11.0 ソフト
2.1.4

次の表に、このコンポーネントのバージョン 2.1.4 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.5.0 <2.10.0 ソフト
2.1.3

次の表に、このコンポーネントのバージョン 2.1.3 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.5.0 <2.9.0 ソフト
2.1.2

次の表に、このコンポーネントのバージョン 2.1.2 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.5.0 <2.8.0 ソフト
2.1.1

次の表に、このコンポーネントのバージョン 2.1.1 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.5.0 <2.7.0 ソフト
2.1.0

次の表に、このコンポーネントのバージョン 2.1.0 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.5.0 <2.6.0 ソフト
2.0.9

次の表に、このコンポーネントのバージョン 2.0.9 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.0.0 <2.5.0 ソフト
2.0.8

次の表に、このコンポーネントのバージョン 2.0.8 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.0.0 <2.4.0 ソフト
2.0.7

次の表に、このコンポーネントのバージョン 2.0.7 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.0.0 <2.3.0 ソフト
2.0.6

次の表に、このコンポーネントのバージョン 2.0.6 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.0.0 <2.2.0 ソフト
2.0.4 and 2.0.5

次の表に、このコンポーネントのバージョン 2.0.4 および 2.0.5 の依存関係を示します。

依存関係 互換性のあるバージョン 依存関係タイプ
Greengrass nucleus >=2.0.3 <2.1.0 ソフト

コンポーネントの依存関係の詳細については、「コンポーネント recipe のリファレンス」を参照してください。

設定

このコンポーネントには、コンポーネントのデプロイ時にカスタマイズできる次の設定パラメータが用意されています。

periodicRefreshIntervalMin (オプション)

このコンポーネントがコアデバイスの設定済みシークレットを AWS Secrets Manager サービスの最新のシークレット値と同期する分単位の間隔。この間隔が設定されていない場合、シークレットマネージャーは設定されたシークレットを定期的に更新しません。

{
  "cloudSecrets": [
    {
      "arn": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyGreengrassSecret-abcdef"
    }
  ],
  "periodicRefreshIntervalMin" : 60
}
cloudSecrets

コアデバイスにデプロイする Secrets Manager シークレットのリスト。ラベルを指定して、デプロイする各シークレットのバージョンを定義できます。バージョンを指定しない場合、このコンポーネントはステージングラベル AWSCURRENT がアタッチされたバージョンをデプロイします。詳細については、「AWS Secrets Manager ユーザーガイド」の「ステージングラベル」を参照してください。

シークレットマネージャーコンポーネントはローカルでキャッシュします。シークレットマネージャーでシークレット値が変更された場合、このコンポーネントは新しい値を自動的に取得しません。ローカルコピーを更新するには、シークレットに新しいラベルを付け、新しいラベルで識別されたシークレットを取得するようにこのコンポーネントを設定します。

各オブジェクトには、次の情報が含まれます:

arn

デプロイするシークレットARNの 。シークレットARNの は、完全ARNまたは部分的な にすることができますARN。部分的な ARNではなく、完全な を指定することをお勧めしますARN。詳細については、「部分的な からのシークレットARNの検索」を参照してください。以下は、 全体ARNおよび部分的な の例ですARN。

  • フル ARN: arn:aws:secretsmanager:us-east-2:111122223333:secret:SecretName-abcdef

  • 部分的ARN: arn:aws:secretsmanager:us-east-2:111122223333:secret:SecretName

labels

(オプション) コアデバイスにデプロイするシークレットのバージョンを識別するためのラベルのリスト。

各ラベルは文字列である必要があります。

例: 設定マージの更新
{
  "cloudSecrets": [
    {
      "arn": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyGreengrassSecret-abcdef"
    }
  ]
}

ローカルログファイル

このコンポーネントは、Greengrass nucleus コンポーネントと同じログファイルを使用します。

Linux
/greengrass/v2/logs/greengrass.log
Windows
C:\greengrass\v2\logs\greengrass.log
このコンポーネントのログを確認するには

  • コアデバイスに次のコマンドを実行して、このコンポーネントのログファイルをリアルタイムに確認します。/greengrass/v2 または を AWS IoT Greengrass ルートフォルダへのパスC:\greengrass\v2に置き換えます。

    Linux
    sudo tail -f /greengrass/v2/logs/greengrass.log
    Windows (PowerShell)
    Get-Content C:\greengrass\v2\logs\greengrass.log -Tail 10 -Wait

変更ログ

次の表は、コンポーネントの各バージョンにおける変更を示します。

バージョン

変更

2.2.2
バグ修正と機能向上

シークレットマネージャーが ARN の一部で設定されたシークレットをダウンロードしない問題を修正しました。

2.2.1
バグ修正と機能向上

Nucleus バージョン 2.5.0 以降のシークレットマネージャーをサポートします。

2.2.0
新機能

新しいコンポーネント設定キーを使用して、設定されたシークレットを定期的に更新するサポートが追加されました。

リクエストごとにシークレットを更新するGetSecretValueIPC新しいリクエストパラメータのサポートをリクエストに追加

2.1.8
バグ修正と機能向上

シークレットマネージャーが部分的な ARN を受け入れない問題を修正しました。

2.1.7

 Greengrass nucleus バージョン 2.12.0 のリリース用にバージョンが更新されました。

2.1.6

 Greengrass nucleus バージョン 2.11.0 のリリース用にバージョンが更新されました。

2.1.5

 Greengrass nucleus バージョン 2.10.0 のリリース用にバージョンが更新されました。

2.1.4
バグ修正と機能向上

シークレットマネージャーがデプロイされ、Greengrass nucleus が再起動されたときに、キャッシュされたシークレットが削除される問題を修正しました。

Greengrass nucleus バージョン 2.9.0 のリリース用にバージョンが更新されました。

2.1.3

 Greengrass nucleus バージョン 2.8.0 のリリース用にバージョンが更新されました。

2.1.2

Greengrass nucleus バージョン 2.7.0 のリリース用にバージョンが更新されました。

2.1.1

Greengrass nucleus バージョン 2.6.0 のリリース用にバージョンが更新されました。

2.1.0
新機能

  • ハードウェアセキュリティ統合のサポートが追加されました。シークレットマネージャーコンポーネントは、ハードウェアセキュリティモジュール () に保存するプライベートキーを使用してシークレットを暗号化および復号できますHSM。詳細については、「ハードウェアセキュリティ統合」を参照してください。

バグ修正と機能向上

  • Greengrass nucleus バージョン 2.5.0 のリリース用にバージョンが更新されました。

2.0.9

Greengrass nucleus バージョン 2.4.0 のリリース用にバージョンが更新されました。

2.0.8

Greengrass nucleus バージョン 2.3.0 のリリース用にバージョンが更新されました。

2.0.7

Greengrass nucleus バージョン 2.2.0 のリリース用にバージョンが更新されました。

2.0.6

Greengrass nucleus バージョン 2.1.0 のリリース用にバージョンが更新されました。

2.0.5
改良点

  • AWS 中国リージョンと AWS GovCloud (US) リージョンのサポートを追加します。

2.0.4

当初のバージョン