Secrets Manager が管理する外部シークレットのローテーション - AWS Secrets Manager
コンソールでローテーションを設定するCLI を使用してローテーションを設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Secrets Manager が管理する外部シークレットのローテーション

Secrets Manager は、一部のソフトウェアベンダーと提携して、マネージド外部シークレットを提供しています。この機能は、ローテーションを自動的に処理することで、お客様がシークレットのライフサイクルを管理するのに役立ちます。マネージド外部シークレットを使用すると、お客様は異なるパートナーに保存されているシークレットごとに特定のローテーションロジックを維持する必要がなくなります。これは Secrets Manager によって処理されます。

Secrets Manager でオンボーディングされているパートナーのリストを表示するには、「マネージド外部シークレットパートナー」を参照してください。

コンソールでローテーションを設定する

統合パートナーによって指定されたシークレットタイプと値を指定して作成された既存のマネージド外部シークレットのローテーションを設定するには、次の手順を実行します。

  1. Secrets Manager コンソールを開きます。

  2. リストからマネージド外部シークレットを選択します。

  3. [設定] タブを選択します。

  4. ローテーション設定セクションで、ローテーションの編集を選択します。

  5. [Automatic rotation] (自動ローテーション) を有効化します。

  6. ローテーションメタデータで、ローテーションに必要なパートナー固有のメタデータを追加します。

    他の必要なメタデータについては、統合パートナーが提供するガイドラインに従ってください。

  7. シークレットローテーションのサービスアクセス許可で、ローテーション用の IAM ロールを選択または作成します。

    • 新しいロールの作成を選択して、必要なアクセス許可を持つロールを自動的に作成します

    • または、パートナーに適切なアクセス許可を持つ既存のロールを選択する

    デフォルトでは、アクセス許可はシークレットが作成されたリージョン内の個々のパートナーに限定されます。

  8. ローテーションスケジュールを設定します (30 日ごとに自動的にローテーションするなど)。

  9. 保存を選択してローテーション設定を適用します。

このプロセス中に設定される 2 つの主要なメタデータフィールドは次のとおりです。

フィールド 説明
ExternalSecretRotationMetadata Salesforce の API バージョンなど、ローテーションに必要なパートナー固有のメタデータ
ExternalSecretRotationRoleArn ローテーションに使用される IAM ロールの ARN と、統合パートナーにスコープされたアクセス許可

これらのフィールドの詳細については、「Secrets Manager が管理する外部シークレットを使用してサードパーティーシークレットを管理する」を参照してください。

CLI を使用してローテーションを設定する

次のコマンドを実行して、Salesforce シークレットのローテーションを設定します。このコマンドは、シークレット ID、ローテーション用の IAM ロール ARN、ローテーションスケジュール、ローテーションプロセスに必要なパートナー固有のメタデータを指定します。

aws secretsmanager rotate-secret \
            --secret-id SampleSecret \
            --external-secret-rotation-role-arn arn:aws:iam::123412341234:role/xyz \
            --rotation-rules AutomaticallyAfterDays=1 \
            --external-secret-rotation-metadata '[{"Key":"apiVersion","Value":"v65.0"}]'