運用管理

AWS Systems Manager Parameter Store で管理する設定と秘密情報 - 階層構造と暗号化

Parameter Store による設定値と秘密情報の管理、階層構造の設計、Secrets Manager との使い分けを解説します。

約 1 分で読めます

Parameter Store の概要

Parameter Store は設定データや秘密情報を階層的に管理するキーバリューストアです。Secrets Manager がデータベース認証情報の自動ローテーションに特化しているのに対し、Parameter Store はアプリケーション設定全般 (機能フラグ、エンドポイント URL、閾値) と秘密情報の両方を管理します。Standard パラメータは無料で最大 10,000 個まで作成できます。

階層構造と Secrets Manager との使い分け

パラメータ名にパス区切り (/) を使用して階層構造を構築します。/myapp/prod/db/host、/myapp/prod/db/password のように環境とコンポーネントで整理し、GetParametersByPath で特定パス配下のパラメータを一括取得します。Secrets Manager との使い分けは、自動ローテーションが必要な DB 認証情報は Secrets Manager、それ以外の設定値と秘密情報は Parameter Store が適切です。Parameter Store は Secrets Manager の参照 (aws:secretsmanager:) もサポートし、両サービスを統合的に利用できます。

Lambda と ECS との統合

Lambda 関数から Parameter Store のパラメータを取得するには、 AWS Parameters and Secrets Lambda Extension を使用します。エクステンションがパラメータをローカルにキャッシュし、 Lambda の実行ごとに API コールを発行する必要がなくなります。 ECS タスク定義の secrets セクションで Parameter Store のパラメータを参照し、コンテナの環境変数として注入します。 SecureString パラメータは KMS で暗号化され、 IAM ポリシーで復号権限を制御します。パラメータのバージョン管理で変更履歴を追跡し、問題発生時に以前のバージョンにロールバックできます。パラメータポリシーで有効期限を設定し、期限切れのパラメータを自動通知します。 設定管理の運用ノウハウを深めるには、専門書籍 (Amazon)が役立ちます。

Parameter Store の料金

Standard パラメータは無料で、アカウントあたり最大 10,000 パラメータを保存できます。Advanced パラメータは 1 パラメータあたり月額約 0.05 ドルで、最大 8KB のサイズ、パラメータポリシー、100,000 パラメータの上限に対応します。API コールは Standard で無料、Advanced の高スループットオプションで 10,000 リクエストあたり約 0.05 ドルです。Secrets Manager (月額 0.40 ドル/シークレット) と比較して、自動ローテーションが不要な設定値には Parameter Store の方がコスト効率に優れています。

まとめ

Parameter Store はアプリケーション設定と秘密情報を階層的に管理するサービスです。Lambda エクステンションでキャッシュを活用した低レイテンシの設定取得を実現し、ECS タスク定義の secrets セクションでコンテナに安全に注入します。Standard パラメータは無料で 10,000 件まで保存でき、Secrets Manager と比較して自動ローテーションが不要な設定値のコスト効率に優れています。

関連するサービス

AWS Systems Manager Parameter Store設定データやシークレットを安全に格納・管理する階層型ストアAWS KMSデータの暗号化に使う鍵を安全に作成・管理できるマネージド暗号鍵サービスAWS Lambdaサーバー管理不要でコードを実行するサーバーレスコンピュートサービス

関連する記事

AWS Secrets Manager によるシークレット管理 - 自動ローテーションとアプリケーション統合RDS・Aurora のパスワードを Lambda 関数で自動ローテーションし、SDK キャッシュライブラリでアプリケーションからシームレスに取得する。Parameter Store との使い分けも紹介します。AWS Secrets Manager のマルチリージョン戦略 - レプリケーションとクロスアカウント共有マルチリージョンレプリケーションで DR 対策を実現し、クロスアカウントアクセスでセキュリティアカウントからの一元管理を構築する手法を紹介します。Amazon API Gateway の設計パターン - REST API と HTTP API の選定基準HTTP API と REST API の選定基準を明確にし、Cognito・Lambda オーソライザーの認証パターンとスロットリング設計の実践手法を紹介します。

同じテーマの記事

AWS の内部時刻同期の仕組み - Amazon Time Sync Service とうるう秒スミアリングの設計AWS が独自に運用する Amazon Time Sync Service の仕組み、GPS と原子時計による高精度時刻源、うるう秒をスミアリングで吸収する設計判断、分散システムにおける時刻同期の重要性を解説します。AWS AppFabric で SaaS 監査ログを集約 - OCSF 標準化と Security Lake 統合AppFabric による SaaS アプリケーションの監査ログ収集、OCSF 形式への標準化、分析パイプラインの構築を解説します。AWS AppConfig で実装するフィーチャーフラグ - 安全な設定デプロイとロールバックコードデプロイとは独立した設定変更を、Linear・Exponential 戦略で段階的にロールアウトする。CloudWatch アラーム連動の自動ロールバックで安全性を確保します。アーキテクチャレビュー - AWS Well-Architected Tool でワークロードを体系的に評価するAWS Well-Architected Tool を使ったワークロードのアーキテクチャレビューを解説。6 つの柱に基づく評価、改善計画の策定、カスタムレンズの活用を紹介します。監査ログの設計と運用 - CloudTrail による API アクティビティの完全記録AWS CloudTrail を活用した監査ログの設計手法を解説し、API アクティビティの記録、S3 への長期保存、Config との連携によるコンプライアンス対応を紹介します。AWS の障害報告書 (COE) から学ぶ分散システムの教訓 - 過去の大規模障害が変えた設計原則AWS が公開した Correction of Errors (COE) と障害報告書から、S3 障害、us-east-1 の DNS 障害、Kinesis 障害など過去の大規模インシデントの根本原因と、それが AWS の設計原則をどう変えたかを解説します。タグの設計が運用を決める - AWS リソースタグ戦略の雑学と実践的な命名規則AWS リソースタグが単なるラベルではなくコスト配分、アクセス制御、自動化の基盤である理由、タグキーの命名規則、タグの上限 50 個の使い方、タグポリシーによるガバナンスを解説します。AWS のサービスクォータはなぜ存在するのか - 共有インフラを守るマルチテナント設計AWS のサービスクォータ (旧サービス制限) が単なる制約ではなく、マルチテナント環境で他の顧客を守るための設計であることを、ノイジーネイバー問題、ソフトリミットとハードリミットの違い、引き上げ申請の裏側から解説します。

内容が近い記事・サービス

AWS Systems ManagerEC2 インスタンスやオンプレミスサーバーの運用管理を一元化するサービスで、パッチ適用、コマンド実行、パラメータ管理、セッション接続などを SSH なしで安全に実行できるAWS Secrets Manager によるシークレット管理 - 自動ローテーションとアプリケーション統合RDS・Aurora のパスワードを Lambda 関数で自動ローテーションし、SDK キャッシュライブラリでアプリケーションからシームレスに取得する。Parameter Store との使い分けも紹介します。AWS Secrets Managerデータベースパスワードや API キーなどのシークレットを安全に保存・取得・自動ローテーションするサービスで、ハードコードされた認証情報を排除するシステム運用管理の効率化 - Systems Manager による統合運用基盤の構築AWS Systems Manager を活用したシステム運用管理の設計手法を解説し、パッチ管理、パラメータストア、Run Command による運用自動化の実現方法を紹介します。