シークレットとリソースポリシーの管理 - Amazon Connect
Secrets Manager シークレットのリソースベースのポリシーの例のリソースベースのポリシーの例 AWS KMS keySecrets Manager シークレットにリソースベースのポリシーをアタッチするリソースベースのポリシーを KMS キーにアタッチするAPI キーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

シークレットとリソースポリシーの管理

サードパーティーの音声プロバイダーを設定するときは、音声プロバイダーの API キーを含むシークレットを Secrets Manager で作成する必要があります。シークレットの作成は 2 ステップのプロセスです。

  • API キーを含むシークレットを作成します。手順については、「 AWS Secrets Manager シークレットの作成」を参照してください。

  • 必要なアクセス許可を設定します。

    • リソースベースのポリシーをシークレットにアタッチします。

    • シークレットに関連付けられた KMS キー (API キーではない) にリソースベースのポリシーをアタッチします。KMS キーはシークレット内の API キーを保護します。

    これらのポリシーにより、Amazon Connect はシークレット内の API キーにアクセスできます。デフォルトの KMS aws/secretsmanager キーは使用できません。新しいキーを作成するか、既存のカスタマーマネージドキーを使用する必要があります。KMS キーがシークレットを保護する方法の詳細については、Secrets Manager の「シークレットの暗号化と復号」を参照してください。

シークレットのリソースベースのポリシーに aws:SourceAccountおよびaws:SourceArn混乱した代理条件 (「混乱した代理問題」を参照) が含まれ、KMS キーのリソースベースのポリシーに kms:EncryptionContext:SecretARN条件が含まれていることを確認します。これにより、Amazon Connect は単一の特定のインスタンスのコンテキストでのみ API キーシークレットにアクセスでき、そのインスタンスと特定のシークレットの両方のコンテキストでのみ KMS キーにアクセスできます。

Secrets Manager シークレットのリソースベースのポリシーの例

以下は、シークレットにアタッチできるリソースベースのポリシーの例です。


{
  "Version":"2012-10-17",		 	 	                    
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "connect.amazonaws.com"
        ]
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:sourceArn": "///the ARN of your Amazon Connect instance///"
        },
        "StringEquals": {
          "aws:sourceAccount": "///Your account ID///"
        }
      }
    }
  ]
}

のリソースベースのポリシーの例 AWS KMS key

以下は、KMS キーにアタッチできるリソースベースのポリシーの例です。


{
  "Version":"2012-10-17",		 	 	                    
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "connect.amazonaws.com"
        ]
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:sourceArn": "///the ARN of your Amazon Connect instance///"
        },
        "StringEquals": {
          "aws:sourceAccount": "///Your account ID///",
          "kms:EncryptionContext:SecretARN": "///the ARN of your secrets manager secret///"
        }
      }
    }
  ]
}

Secrets Manager シークレットにリソースベースのポリシーをアタッチする

リソースベースのポリシーをシークレットにアタッチするには、 内の Secrets Manager コンソールに移動し AWS マネジメントコンソール、シークレットに移動して、アクセス許可またはリソースアクセス許可の編集を選択し、リソースポリシーをページに直接追加または変更して、例のようになります。 リソースポリシーは、 AWS CLIの put-resource-policy コマンドを使用してアタッチすることも、PutResourcePolicy API オペレーションを使用してプログラムでアタッチすることもできます。

リソースベースのポリシーを KMS キーにアタッチする

リソースベースのポリシーを KMS キーにアタッチするには、 内の AWS Key Management Service コンソールに移動し AWS マネジメントコンソール、KMS キーに移動して、キーポリシーを編集してのようになります。キーは、 AWS CLIコマンドを使用して更新することもput-key-policyPutKeyPolicy API オペレーションを使用してプログラムで更新することもできます。

API キーの更新

API キーを少なくとも 90 日ごとにローテーションして、侵害のリスクを最小限に抑え、緊急事態に備えて十分に実践されたキーローテーションプロセスを維持することをお勧めします。

API キーをローテーションするには、API キーが含まれているシークレットをローテーションする必要があります。シークレットを更新する方法の詳細については、「Secrets Manager ユーザーガイド」の「Secrets Manager シークレットのローテーション」を参照してください。API キーをローテーションするときは、以前のキーの使用量がゼロになるまで待ってから、古い API キーを取り消して、進行中のリクエストが影響を受けないようにすることをお勧めします。