セキュリティ

AWS Secrets Manager のマルチリージョン戦略 - レプリケーションとクロスアカウント共有

マルチリージョンレプリケーションで DR 対策を実現し、クロスアカウントアクセスでセキュリティアカウントからの一元管理を構築する手法を紹介します。

約 1 分で読めます

マルチリージョンシークレット

Secrets Manager のマルチリージョンシークレットは、プライマリリージョンのシークレットを最大 4 つのレプリカリージョンに自動同期する機能です。各リージョンのレプリカは独立した ARN を持ちますが、同じシークレット名でアクセスできます。アプリケーションはリージョン固有のエンドポイントからシークレットを取得するため、プライマリリージョンの障害時もレプリカリージョンから継続してアクセスできます。レプリカはリードオンリーで、更新はプライマリリージョンでのみ実行されます。プライマリリージョンの障害時にはレプリカをプライマリに昇格させることで、書き込みも可能になります。

クロスアカウントアクセス

マルチアカウント環境では、中央のセキュリティアカウントでシークレットを管理し、ワークロードアカウントから参照する構成が推奨されます。シークレットにリソースベースポリシーを設定し、ワークロードアカウントの IAM ロールに GetSecretValue を許可します。ワークロードアカウント側では、IAM ロールにセキュリティアカウントのシークレット ARN へのアクセスを許可するポリシーをアタッチします。KMS キーのキーポリシーにもクロスアカウントの Decrypt 権限を設定する必要があります。この構成により、シークレットの管理を一元化しつつ、各アカウントのアプリケーションから安全にアクセスできます。

バージョニングとローテーション中の可用性

Secrets Manager はシークレットのバージョンをラベルで管理します。 AWSCURRENT は現在有効なバージョン、 AWSPREVIOUS は直前のバージョンを指します。ローテーション中は新しいパスワードが AWSPENDING ラベルで作成され、データベースのパスワード更新と接続テストが完了した後に AWSCURRENT に昇格します。交代ユーザー戦略では 2 つのデータベースユーザーを交互に使用し、一方のパスワードをローテーション中も他方で接続を維持します。アプリケーション側では SDK のキャッシュライブラリを使用し、キャッシュの TTL 内はローテーション前のパスワードを使い続け、 TTL 切れ時に新しいパスワードを取得する設計が推奨されます。 マルチリージョンの理解をさらに深めたい場合はAmazon の専門書も活用できます。

Secrets Manager の料金

Secrets Manager の料金はシークレット 1 件あたり月額約 0.40 ドルと、API コール 10,000 回あたり約 0.05 ドルです。マルチリージョンレプリケーションでは、レプリカリージョンのシークレットにも同額の月額料金が発生します。4 リージョンにレプリケーションすると、1 シークレットあたり月額約 2.00 ドル (0.40 × 5 リージョン) です。Parameter Store の SecureString (標準パラメータは無料) と比較するとコストは高いですが、自動ローテーションとマルチリージョンレプリケーションの価値を考慮して選択します。

まとめ

Secrets Manager のマルチリージョンレプリケーションとクロスアカウント共有により、エンタープライズ規模のシークレット管理を実現できます。DR 対策としてのレプリカ配置、セキュリティアカウントでの一元管理、バージョニングによるローテーション中の可用性確保を組み合わせることで、堅牢なシークレット管理基盤を構築できます。

関連するサービス

AWS Secrets Managerデータベースパスワードや API キーを安全に管理・自動ローテーションするサービスAWS KMSデータの暗号化に使う鍵を安全に作成・管理できるマネージド暗号鍵サービスAWS Lambdaサーバー管理不要でコードを実行するサーバーレスコンピュートサービス

関連する記事

AWS Secrets Manager によるシークレット管理 - 自動ローテーションとアプリケーション統合RDS・Aurora のパスワードを Lambda 関数で自動ローテーションし、SDK キャッシュライブラリでアプリケーションからシームレスに取得する。Parameter Store との使い分けも紹介します。AWS Systems Manager Parameter Store で管理する設定と秘密情報 - 階層構造と暗号化Parameter Store による設定値と秘密情報の管理、階層構造の設計、Secrets Manager との使い分けを解説します。Amazon API Gateway の設計パターン - REST API と HTTP API の選定基準HTTP API と REST API の選定基準を明確にし、Cognito・Lambda オーソライザーの認証パターンとスロットリング設計の実践手法を紹介します。

同じテーマの記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。

内容が近い記事・サービス

AWS Secrets Managerデータベースパスワードや API キーなどのシークレットを安全に保存・取得・自動ローテーションするサービスで、ハードコードされた認証情報を排除するAWS Secrets Manager によるシークレット管理 - 自動ローテーションとアプリケーション統合RDS・Aurora のパスワードを Lambda 関数で自動ローテーションし、SDK キャッシュライブラリでアプリケーションからシームレスに取得する。Parameter Store との使い分けも紹介します。Amazon Aurora Global Database で実現するマルチリージョン構成 - DR とグローバル読み取りの設計ストレージレイヤーの物理レプリケーションで 1 秒未満の RPO を実現する。計画的・非計画的フェイルオーバーの手順と、Write Forwarding によるグローバル読み取りの活用法を紹介します。DynamoDB Global Tables でマルチリージョンデータベースを構築 - アクティブ-アクティブレプリケーションマルチリージョンのアクティブ-アクティブレプリケーションで低レイテンシの読み書きを実現する。コンフリクト解決の仕組みと DR 設計を紹介します。