翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Secrets Manager シークレットを作成する
シークレットには、パスワード、ユーザー名とパスワードなどの認証情報のセット、 OAuthトークン、または Secrets Manager に暗号化された形式で保存するその他のシークレット情報を指定できます。
ヒント
Amazon RDSおよび Amazon Redshift 管理者ユーザーの認証情報には、 マネージドシークレットを使用することをお勧めします。管理サービスを通じてマネージドシークレットを作成すると、マネージドローテーションを使用できます。
コンソールを使用して、他のリージョンにレプリケートされているソースデータベースのデータベース認証情報を保存すると、シークレットにはソースデータベースの接続情報が含まれます。その後、シークレットをレプリケートすると、レプリカはソースシークレットのコピーとなり、同じ接続情報が含まれます。リージョン接続情報のシークレットにキー/値ペアを追加できます。
シークレットを作成するには、 SecretsManagerReadWrite 管理ポリシーによって付与されたアクセス許可が必要です。
Secrets Manager は、シークレットの作成時に CloudTrail ログエントリを生成します。詳細については、「AWS CloudTrail による AWS Secrets Manager イベントのログ記録」を参照してください。
シークレットを作成するには (コンソール)
で Secrets Manager コンソールを開きますhttps://console.aws.amazon.com/secretsmanager/
。 -
[新しいシークレットを保存] を選択します。
-
[Choose secret type] (シークレットタイプを選択する) ページで、次の操作を行います。
-
[Secret type] (シークレットの種類) で、次のいずれかを実行します。
-
データベース認証情報を保存するには、保存するデータベース認証情報のタイプを選択します。次に、[データベース] を選択し、[認証情報] を入力します。
-
API キー、アクセストークン、データベース用ではない認証情報を保存するには、その他のタイプのシークレットを選択します。
キーと値のペアで、JSONキーと値のペアにシークレットを入力するか、プレーンテキストタブを選択して任意の形式でシークレットを入力します。シークレットには最大 65536 バイトまで保存できます。例:
-
-
暗号化キーで、Secrets Manager AWS KMS key がシークレット値を暗号化するために使用する を選択します。詳細については、「シークレット暗号化と復号」を参照してください。
-
多くの場合、Secrets Manager に AWS マネージドキー を使用するときは、aws/secretsmanager を選択します。このキーを使用してもコストは発生しません。
-
別の からシークレットにアクセスする必要がある場合 AWS アカウント、または独自のKMSキーを使用してローテーションしたりキーポリシーを適用したりする場合は、リストからカスタマーマネージドキーを選択するか、新しいキーを追加を選択して作成します。カスタマーマネージドキーの使用料金の詳細については、「料金」を参照してください。
必要なもの: KMS キーのアクセス許可 クロスアカウントアクセスの詳細については、「別のアカウントから AWS Secrets Manager シークレットにアクセスする」を参照してください。
-
-
[Next (次へ)] を選択します。
-
-
[Configure secret] (シークレットを設定する) ページで、次の操作を行います。
-
わかりやすいシークレット名と説明を入力します。シークレット名には、1~512 文字の英数字と /_+=.@- の文字を含めることができます。
-
(オプション) [Tags] (タグ) セクションで、タグをシークレットに追加します。タグ付け戦略については、「AWS Secrets Manager シークレットにタグ付けする」を参照してください。機密情報は暗号化されていないため、タグに保存しないでください。
-
(オプション) [Resource permissions] (リソースに対するアクセス許可) でリソースポリシーをシークレットに追加するには、[Edit permissions] (アクセス許可の編集) をクリックします。詳細については、「リソースベースのポリシー」を参照してください。
-
(オプション) シークレットのレプリケートで、シークレットを別の にレプリケートするには AWS リージョン、シークレットのレプリケートを選択します。シークレットのレプリケーションは、この段階で実行することも、後に戻ってきて実行することもできます。詳細については、「リージョン間でシークレットをレプリケートする」を参照してください。
-
[Next (次へ)] を選択します。
-
-
(オプション) [Configure rotation] (ローテーションを設定する) ページで、シークレットの自動ローテーションを有効にできます。ローテーションをオフにしておいて、後でオンにすることもできます。詳しくは、「 シークレットのローテーション」 を参照してください。[Next] (次へ) を選択します。
-
[Review] (レビュー) ページで、シークレットの詳細を確認し、[Store] (保存) を選択します。
Secrets Manager はシークレットのリストに戻ります。新しいシークレットが表示されない場合は、更新ボタンを選択します。
AWS CLI
コマンドシェルにコマンドを入力すると、コマンド履歴がアクセスされたり、ユーティリティからコマンドパラメータにアクセスされたりするリスクがあります。「を使用して AWS CLIAWS Secrets Manager シークレットを保存するリスクを軽減する」を参照してください。
例 JSON ファイル内のデータベース認証情報からシークレットを作成する
次の create-secret
の例は、ファイル内の認証情報からシークレットを作成します。詳細については、「 AWS CLI ユーザーガイド」の「ファイルからの AWS CLI パラメータのロード」を参照してください。
Secrets Manager がシークレットをローテーションできるようにするには、 が JSONと一致することを確認する必要がありますシークレットの JSON 構造。
aws secretsmanager create-secret \ --name MyTestSecret \ --secret-string file://mycreds.json
mycreds.json の内容:
{ "engine": "mysql", "username": "saanvis", "password": "EXAMPLE-PASSWORD", "host": "my-database-endpoint.us-west-2.rds.amazonaws.com", "dbname": "myDatabase", "port": "3306" }
例 シークレットを作成する
次に、2 つのキーと値のペアを持つシークレットを作成する、create-secret
の例をします。
aws secretsmanager create-secret \ --name MyTestSecret \ --description "My test secret created with the CLI." \ --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
AWS SDK
のいずれかを使用してシークレットを作成するには AWS SDKs、 CreateSecret
アクションを使用します。詳細については、「AWS SDKs」を参照してください。