翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# セキュリティおよびアクセス許可
<a name="mes-security"></a>

マネージド外部シークレットでは、サードパーティーアプリケーションアカウントの管理者レベルの権限を と共有する必要はありません AWS。代わりに、ローテーションプロセスでは、指定した認証情報とメタデータを使用して、認証情報の更新と検証のためにサードパーティーアプリケーションへの認可された API コールを行います。

マネージド外部シークレットは、他の Secrets Manager シークレットタイプと同じセキュリティ標準を維持します。シークレット値は、KMS キーを使用して保管中に暗号化され、TLS を使用して転送中に暗号化されます。シークレットへのアクセスは、IAM ポリシーとリソースベースのポリシーによって制御されます。カスタマーマネージドキーを使用してシークレットを暗号化する場合は、ローテーションロールの IAM ポリシーと CMK 信頼ポリシーを更新して、ローテーションを成功させるために必要なアクセス許可を付与する必要があります。

ローテーションを適切に機能させるには、シークレットライフサイクルを管理するための特定のアクセス許可を Secrets Manager に提供する必要があります。これらのアクセス許可は、個々のシークレットに限定し、最小特権の原則に従うことができます。指定したローテーションロールはセットアップ時に検証され、ローテーションオペレーションにのみ使用されます。

シークレットが存在するリージョンの EC2 の [AWS IP 範囲](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html)のみを許可することで、IP 進入を外部リソースに制限できます。この IP 範囲のリストは変更される可能性があるため、進入ルールを定期的に更新する必要があります。

 AWS Secrets Manager には、Secrets Manager コンソールを使用してシークレットを作成するときにシークレットを管理するために必要なアクセス許可を持つ IAM ポリシーを作成するためのシングルタッチソリューションも用意されています。このロールのアクセス許可は、各リージョンの統合パートナーごとにスコープダウンされます。

**アクセス許可ポリシーの例:**

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowRotationAccess",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:PutSecretValue",
        "secretsmanager:UpdateSecretVersionStage"
      ],
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "secretsmanager:resource/Type": "SalesforceClientSecret"
        }
      }
    },
    {
      "Sid": "AllowPasswordGenerationAccess",
      "Action": [
        "secretsmanager:GetRandomPassword"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}
```

注: secretsmanager:resource/Type で使用できるシークレットタイプのリストは、[統合パートナー](mes-partners.md)にあります。

**信頼ポリシーの例:**

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "SecretsManagerPrincipalAccess",
      "Effect": "Allow",
      "Principal": {
        "Service": "secretsmanager.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:*"
        }
      }
    }
  ]
}
```