翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # AMS SSP を使用して AMS アカウント AWS Secrets Manager でプロビジョニングする AWS Secrets Manager AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS Secrets Manager 機能に直接アクセスします。アプリケーション、サービス、IT リソースへのアクセスに必要なシークレットを保護する AWS Secrets Manager のに役立ちます。このサービスを使用すると、データベースクレデンシャル、APIキー、およびその他のシークレットをライフサイクル全体で簡単にローテーション、管理、および取得できます。ユーザーとアプリケーションは Secrets Manager APIs を呼び出すことでシークレットを取得するため、機密情報をプレーンテキストでハードコードする必要がなくなります。Secrets Manager には、Amazon RDS、Amazon Redshift、Amazon DocumentDB の統合機能が組み込まれたシークレットローテーションが用意されています。また、このサービスは API キーや OAuth トークンなど、他のタイプのシークレットにも拡張できます。詳細については[AWS Secrets Manager](https://aws.amazon.com/secrets-manager/)を参照してください。 **注記** デフォルトでは、AMS 演算子は、アカウントのデフォルト AWS KMS キー (CMK) を使用して暗号化 AWS Secrets Manager された のシークレットにアクセスできます。シークレットを AMS オペレーションにアクセスできるようにするには、シークレットに保存されているデータに適したアクセス許可を定義する AWS Key Management Service (AWS KMS) キーポリシーを持つカスタム CMK を使用します。 ## AWS Managed Services の Secrets Manager に関するよくある質問 **Q: AWS Secrets Manager AMS アカウントの へのアクセスをリクエストするにはどうすればよいですか?** 管理 \$1 AWS サービス \$1 セルフプロビジョニングサービス \$1 追加 (ct-3qe6io8t6jtny) 変更タイプで RFC を送信して Secrets Manager へのアクセスをリクエストします。この RFC は、 `customer_secrets_manager_console_role`および の IAM ロールをアカウントにプロビジョニングします`customer-rotate-secrets-lambda-role`。`customer_secrets_manager_console_role` は、シークレットをプロビジョニングおよび管理するための管理者ロールとして使用され、シークレットをローテーションする Lambda 関数の Lambda 実行ロールとして`customer-rotate-secrets-lambda-role`使用されます。アカウントにプロビジョニングされたら、フェデレーションソリューションで`customer_secrets_manager_console_role`ロールをオンボードする必要があります。 **Q: AMS アカウント AWS Secrets Manager での の使用にはどのような制限がありますか?** のフル機能は、シークレットの自動ローテーション機能とともに、AMS アカウントで AWS Secrets Manager 使用できます。ただし、「ローテーションを実行するための新しい Lambda 関数の作成」を使用したローテーションの設定はサポートされていません。これは、変更管理プロセスをバイパスする CloudFormation スタックの作成 (IAM ロールと Lambda 関数の作成) に昇格されたアクセス許可が必要なためです。AMS Advanced は、「既存の Lambda 関数を使用してローテーションを実行する」のみをサポートします。ここでは、Lambda 関数を管理し、 AWS Lambda SSPS 管理者ロールを使用してシークレットをローテーションします。AMS Advanced は、シークレットをローテーションするために Lambda を作成または管理しません。 **Q: AMS アカウント AWS Secrets Manager で を使用するための前提条件または依存関係は何ですか?** 次の名前空間は AMS が使用するために予約されており、 への直接アクセスの一部としては使用できません AWS Secrets Manager。 + arn:aws:secretsmanager:\$1:\$1:secret:ams-shared/\$1 + arn:aws:secretsmanager:\$1:\$1:secret:customer-shared/\$1 + arn:aws:secretsmanager:\$1:\$1:secret:ams/\$1 ## Secrets Manager を使用したキーの共有 (AMS SSPS) Secrets Manager: キーの共有 RFC、サービスリクエスト、またはインシデントレポートのプレーンテキストでシークレットを AMS と共有すると、情報開示インシデントが発生し、AMS はケースからの情報とキーを再生成するリクエストを編集します。 [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/) (Secrets Manager) は、この名前空間 で使用できます`customer-shared`。 ![\[Secrets Manager ワークフロー。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/images/secretsManager.png) ### Secrets Manager を使用したキーの共有に関するよくある質問 **Q: Secrets Manager を使用して共有する必要があるシークレットのタイプは何ですか?** 例としては、VPN 作成用の事前共有キー、認証キー (IAM、SSH)、ライセンスキー、パスワードなどの機密キーなどがあります。 **Q: Secrets Manager を使用して AMS とキーを共有するにはどうすればよいですか?** 1. フェデレーティッドアクセスと適切なロールを使用して、 AWS マネジメントコンソールにログインします。 SALZ の場合は、 `Customer_ReadOnly_Role` MALZ の場合は、`AWSManagedServicesChangeManagementRole`。 1. [AWS Secrets Manager コンソール](https://console.aws.amazon.com/secretsmanager/home)に移動し、**新しいシークレットを保存する**をクリックします。 1. [**その他のシークレット**] を選択します。 1. シークレット値をプレーンテキストとして入力し、デフォルトの KMS 暗号化を使用します。**[次へ]** をクリックします。 1. シークレット名と説明を入力します。名前は常に**カスタマー共有/ で始まります**。たとえば、**customer-shared/mykey2022** などです。**[次へ]** をクリックします。 1. 自動ローテーションを無効にしたまま、**次へ**をクリックします。 1. Store を確認してクリックし****、シークレットを保存します。 1. シークレットを識別して取得できるように、サービスリクエスト、RFC、またはインシデントレポートを通じてシークレット名を返信してください。 **Q: Secrets Manager を使用してキーを共有するには、どのようなアクセス許可が必要ですか?** **SALZ**: `customer_secrets_manager_shared_policy`マネージド IAM ポリシーを探し、ポリシードキュメントが以下の作成ステップでアタッチされているものと同じであることを確認します。ポリシーが次の IAM ロールにアタッチされていることを確認します: `Customer_ReadOnly_Role`。 **MALZ**: `ams-shared`名前空間で `GetSecretValue`アクションを許可する`AWSManagedServicesChangeManagementRole`ロールに `AMSSecretsManagerSharedPolicy`がアタッチされていることを確認します。 例: ``` { "Action": "secretsmanager:*", "Resource": [ "arn:aws:secretsmanager:*:*:secret:ams-shared/*", "arn:aws:secretsmanager:*:*:secret:customer-shared/*" ], "Effect": "Allow", "Sid": "AllowAccessToSharedNameSpaces" } ``` **注記** セルフサービスプロビジョニングサービス AWS Secrets Manager として を追加すると、必要なアクセス許可が付与されます。