翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
セキュリティおよびアクセス許可
マネージド外部シークレットでは、サードパーティーアプリケーションアカウントの管理者レベルの権限を と共有する必要はありませんAWS。代わりに、ローテーションプロセスでは、提供された認証情報とメタデータを使用して、認証情報の更新と検証のためにサードパーティーアプリケーションへの認可された API コールを行います。
マネージド外部シークレットは、他の Secrets Manager シークレットタイプと同じセキュリティ標準を維持します。シークレット値は、KMS キーを使用して保管中に暗号化され、TLS を使用して転送中に暗号化されます。シークレットへのアクセスは、IAM ポリシーとリソースベースのポリシーによって制御されます。カスタマーマネージドキーを使用してシークレットを暗号化する場合は、ローテーションロールの IAM ポリシーと CMK 信頼ポリシーを更新して、ローテーションを成功させるために必要なアクセス許可を付与する必要があります。
ローテーションを適切に機能させるには、シークレットライフサイクルを管理するための特定のアクセス許可を Secrets Manager に提供する必要があります。これらのアクセス許可は、個々のシークレットに限定し、最小特権の原則に従うことができます。指定したローテーションロールはセットアップ時に検証され、ローテーションオペレーションにのみ使用されます。
IP イングレスを外部リソースに制限するには、シークレットが存在するリージョンで Secrets Manager が管理する外部シークレット AWSマネージドプレフィックスリストのみを許可します。プレフィックスリストの名前は でcom.amazonaws.、region.secretsmanager-managed-external-secretsregion はシークレットのAWSリージョンです。マネージドプレフィックスリストを使用すると、基になる IP 範囲の変化に応じて進入ルールが自動的に最新の状態になります。
プログラムでプレフィックスリストを参照する場合は、GetManagedPrefixListEntries API を使用して、許可リストに登録する必要がある IPsを一覧表示できます。このプレフィックスリストを使用して進入ルールを定期的に更新して、最新の状態に保つ必要があります。
AWS Secrets Managerには、Secrets Manager コンソールを使用してシークレットを作成するときにシークレットを管理するために必要なアクセス許可を持つ IAM ポリシーを作成するためのシングルタッチソリューションも用意されています。このロールのアクセス許可は、各リージョンの統合パートナーごとにスコープダウンされます。
アクセス許可ポリシーの例:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRotationAccess", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue", "secretsmanager:UpdateSecretVersionStage" ], "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "secretsmanager:resource/Type": "SalesforceClientSecret" } } }, { "Sid": "AllowPasswordGenerationAccess", "Action": [ "secretsmanager:GetRandomPassword" ], "Resource": "*", "Effect": "Allow" } ] }
注: secretsmanager:resource/Type で使用できるシークレットタイプのリストは、統合パートナーにあります。
信頼ポリシーの例:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecretsManagerPrincipalAccess", "Effect": "Allow", "Principal": { "Service": "secretsmanager.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:*" } } } ] }