

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Secrets Manager シークレットを作成する
<a name="create_secret"></a>

*シークレット*は、パスワード、ユーザーネームやパスワードなどの一連の認証情報、OAuth トークン、または、暗号化された形式で Secrets Manager に保存されるその他のシークレット情報にすることができます。

**ヒント**  
Amazon RDS および Amazon Redshift 管理ユーザーの認証情報には、[マネージドシークレット](service-linked-secrets.md)を使用することをお勧めします。管理サービスを通じてマネージドシークレットを作成すると、[マネージドローテーション](rotate-secrets_managed.md)を使用できます。

コンソールを使用して、他のリージョンにレプリケートされているソースデータベースのデータベース認証情報を保存すると、シークレットにはソースデータベースの接続情報が含まれます。その後、シークレットをレプリケートすると、レプリカはソースシークレットのコピーとなり、同じ接続情報が含まれます。リージョン接続情報のシークレットにキー/値ペアを追加できます。

シークレットを作成するには、[SecretsManagerReadWrite マネージドポリシー](reference_available-policies.md)で付与されるアクセス許可が必要です。

Secrets Manager では、シークレットを作成すると CloudTrail ログエントリを生成します。詳細については、「[で AWS Secrets Manager イベントをログに記録する AWS CloudTrail](monitoring-cloudtrail.md)」を参照してください。

**シークレットを作成するには (コンソール)**

1. Secrets Manager のコンソール ([https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)) を開きます。

1. **[Store a new secret]** (新しいシークレットを保存する) を選択します｡

1. [**Choose secret type**] (シークレットタイプを選択する) ページで、次の操作を行います。

   1. [**Secret type**] (シークレットの種類) で、次のいずれかを実行します。
      + データベース認証情報を保存するには、保存するデータベース認証情報のタイプを選択します。次に、**[データベース]** を選択し、**[認証情報]** を入力します。
      + API キー、アクセストークン、データベース用ではない認証情報を保存するには、**[その他のタイプのシークレット]** を選択します。

        **[キーと値のペア]** に、JSON の **キーと値** ペアでシークレットを入力するか、**[プレーンテキスト]** タブを開き、任意の形式でシークレットを入力します。シークレットには最大 65536 バイトまで保存できます。例:

------
#### [ API key ]

        キーと値のペアとして次を入力します。

        **ClientID**: *client\$1id*

        **ClientSecret** : *wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY*

------
#### [ OAuth token ]

        プレーンテキストとして入力します。

        *AKIAI44QH8DHBEXAMPLE*

------
#### [ Digital certificate ]

        プレーンテキストとして入力します。

        ```
        -----BEGIN CERTIFICATE-----
        EXAMPLE
        -----END CERTIFICATE-----
        ```

------
#### [ Private key ]

        プレーンテキストとして入力します。

        ```
        –--- BEGIN PRIVATE KEY ----
        EXAMPLE
        ––-- END PRIVATE KEY –---
        ```

------
      + Secrets Manager パートナーからマネージド外部シークレットを保存するには、**パートナーシー**クレットを選択します。次に、パートナーを選択し、パートナーのシークレットを識別する詳細を指定します。詳細については、「[AWS Secrets Manager マネージド外部シークレットを使用したサードパーティーシークレットの管理](managed-external-secrets.md)」を参照してください。

   1. **暗号化キー**で、Secrets Manager AWS KMS key がシークレット値を暗号化するために使用する を選択します。詳細については、「[シークレット暗号化と復号](security-encryption.md)」を参照してください。
      + ほとんどの場合、**aws/secretsmanager** を選択して、Secrets Manager AWS マネージドキー の を使用します。このキーを使用してもコストは発生しません。
      + 別の からシークレットにアクセスする必要がある場合 AWS アカウント、または独自の KMS キーを使用してキーポリシーを更新または適用する場合は、リストからカスタマーマネージドキーを選択するか、カスタマーマネージドキーのキー ARN またはエイリアス ARN を入力するか、**新しいキーを追加**を選択して作成します。カスタマーマネージドキーの使用料金の詳細については、「[料金](intro.md#asm_pricing)」を参照してください。

        必要なもの: [KMS キーのアクセス許可](security-encryption.md#security-encryption-authz) クロスアカウントアクセスの詳細については、「[別のアカウントから AWS Secrets Manager シークレットにアクセスする](auth-and-access_examples_cross.md)」を参照してください。

   1. [**次へ**] を選択します。

1. [**Configure secret**] (シークレットを設定する) ページで、次の操作を行います。

   1. わかりやすい**シークレット名**と**説明**を入力します。シークレット名には、1～512 文字の英数字と /\$1\$1=.@- の文字を含めることができます。

   1. (オプション) 外部シークレットを作成した場合は、シークレットを保持する Secrets Manager パートナーに必要なメタデータを入力します。

   1. (オプション) **[Tags]** (タグ) セクションで、タグをシークレットに追加します。タグ付け戦略については、「[でのシークレットのタグ付け AWS Secrets Manager](managing-secrets_tagging.md)」を参照してください。機密情報は暗号化されていないため、タグに保存しないでください。

   1. (オプション) **[Resource permissions]** (リソースに対するアクセス許可) でリソースポリシーをシークレットに追加するには、**[Edit permissions]** (アクセス許可の編集) をクリックします。詳細については、「[リソースベースのポリシー](auth-and-access_resource-policies.md)」を参照してください。

   1. (オプション) シーク**レットのレプリケート**で、シークレットを別のシークレットにレプリケートするには AWS リージョン、シー**クレットのレプリケート**を選択します。シークレットのレプリケーションは、この段階で実行することも、後に戻ってきて実行することもできます。詳細については、「[マルチリージョンレプリケーション](replicate-secrets.md)」を参照してください。

   1. **[Next]** (次へ) を選択します。

1. (オプション) [**Configure rotation**] (ローテーションを設定する) ページで、シークレットの自動ローテーションを有効にできます。ローテーションをオフにしておいて、後でオンにすることもできます。詳しくは、「[ シークレットのローテーション](rotating-secrets.md)」 を参照してください。**[Next]** (次へ) を選択します。

1. **[Review]** (レビュー) ページで、シークレットの詳細を確認し、**[Store]** (保存) を選択します。

   Secrets Manager はシークレットのリストに戻ります。新しいシークレットが表示されない場合は、更新ボタンを選択します。

## AWS CLI
<a name="create_secret_cli"></a>

コマンドシェルにコマンドを入力すると、コマンド履歴がアクセスされたり、ユーティリティからコマンドパラメータにアクセスされたりするリスクがあります。「[を使用して AWS Secrets Manager シークレット AWS CLI を保存するリスクを軽減する](security_cli-exposure-risks.md)」を参照してください。

**Example JSON ファイルのデータベース認証情報からシークレットを作成する**  
次の [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/secretsmanager/create-secret.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/secretsmanager/create-secret.html) の例は、ファイル内の認証情報からシークレットを作成します。詳細については、「 AWS CLI ユーザーガイド[」の「ファイルからのパラメータのロード AWS CLI](https://docs.aws.amazon.com//cli/latest/userguide/cli-usage-parameters-file.html)」を参照してください。  
Secrets Manager がシークレットをローテーションできるようにするには、必ず JSON が [シークレットの JSON 構造](reference_secret_json_structure.md) にマッチしている必要があります。  

```
aws secretsmanager create-secret \
    --name MyTestSecret \
    --secret-string file://mycreds.json
```
mycreds.json の内容:  

```
{
    "engine": "mysql",
    "username": "saanvis",
    "password": "EXAMPLE-PASSWORD",
    "host": "my-database-endpoint.us-west-2.rds.amazonaws.com",
    "dbname": "myDatabase",
    "port": "3306"
}
```

**Example シークレットを作成する**  
次に、2 つのキーと値のペアを持つシークレットを作成する、[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/secretsmanager/create-secret.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/secretsmanager/create-secret.html) の例をします。  

```
aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string '{"user":"diegor","password":"EXAMPLE-PASSWORD"}'
```

**Example シークレットを作成する**  
次に、2 つのタグを持つシークレットを作成する、[https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/create-secret.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/create-secret.html) の例を示します。  

```
aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string '{"user":"diegor","password":"EXAMPLE-PASSWORD"}'  \
    --tags '[{"Key": "FirstTag", "Value": "FirstValue"}, {"Key": "SecondTag", "Value": "SecondValue"}]'
```

## AWS SDK
<a name="create_secret_sdk"></a>

 AWS SDKs のいずれかを使用してシークレットを作成するには、 [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)アクションを使用します。詳細については、「[AWS SDKs](asm_access.md#asm-sdks)」を参照してください。