Secrets Manager(SSM)は、認証情報の作成、検索、更新、削除等の全ライフサイクルの管理サービスをご提供し、リソースレベルのロール権限の許可と結びつけることで、機密性の高い認証情報に対する一元管理を手軽に実現します。機密情報のハードコーディングによる漏洩リスクに対しては、ユーザーまたはアプリケーションからSecrets Manager APIを呼び出して認証情報を検索するので、プログラミングのハードコーディングや平文の設定等による機密情報の漏洩、権限許可の無制御による業務リスクを効果的に回避できます。
メリット
セキュアで制御可能な認証情報の検索
アプリケーションのソースコードからハードコードされた認証情報を削除して、コード内のハードコードされた認証情報をSecrets Manager APIの呼び出しに置き換えると、プログラムで認証情報を動的に検索、管理できるようになります。
認証情報のストレージ暗号化と転送
認証情報は、Tencent Cloud Key Management Service(KMS)によって暗号化され、Secrets Managerに保存されます。暗号化キーは、第三者認証のハードウェアセキュリティモジュール(HSM)に基づいて生成および保護されます。認証情報を検索する時は、TLS 経由でローカルサーバーに安全に転送されます。
アプリケーションレイヤーの認証情報のローテーション
Secrets Managerを利用することで、機密性の高い認証情報は定期的に更新されます。認証情報に依存するすべてのアプリケーションは自動的に同期を完了して、セキュアな認証情報のローテーションが実現し、同時に認証情報に依存する業務の連続性も確保されます。
リソースレベルのアクセス許可
Secrets Manager はCloud Access Management (CAM)と完全に統合されているため、ID管理とポリシー管理によって許可されたユーザーのみが認証情報にアクセスまたは変更できるようにすることができます。同時に、これらのポリシーをユーザーまたはロールに付加して、それらのユーザーアクセス可能な認証情報を指定できるようにもなっています。
洗練された管理と監査
CloudAuditと連携させることで、お客様のTencent Cloudアカウントに対する管理、コンプライアンスチェック、オペレーション監査、リスク監査等のサービスがサポートされます。全ての認証情報の管理操作とその使用状況の記録が可能です。
高可用性ディザスタリカバリとバックアップ
Secrets Managerのアーキテクチャは、クラスター化されたデプロイ方式を採用し、分散データベースストレージシステムによってデータストレージとディザスタリカバリバックアップを実現します。また業務側ユーザーが、複数のリージョンで同じ認証情報を作成することができ、業務側からクロスリージョンディザスタリカバリも実現できます。
機能
機密情報
権限の許可と監視
セキュリティコンプライアンス
機密情報
認証情報の検索
アプリケーションのソースコードからハードコードされた認証情報を削除して、コード内のハードコードされた認証情報をSecrets Manager APIの呼び出しに置き換えると、プログラムで認証情報を動的に検索、管理できるようになります。コードの漏洩時またはコードの閲覧者によりセンシティブ情報が取得されるのを回避する助けとなります。
認証情報のストレージ暗号化と転送
Name-Value方式によって、Secrets Managerに各種の機密データを保存できます。Value部分には、最大 4,096 バイトのデータベース接続、アカウントパスワード、IP ポートなどを含めることができます。Secrets Managerは、KMSによって安全に保護されたマスターキー(CMK)を暗号化キーとして使用し、保存されている機密性の高い認証情報を暗号化します。認証情報が要求される場合、TLS 経由でローカルサーバーに安全に転送されます。
アプリケーションレイヤーの認証情報のローテーション
Secrets Managerを利用することで、システム内で認証情報の内容の更新が完了できます。また当該認証情報を呼び出す全てのアプリケーションも、認証情報の手動更新を行うことなく、自動で同期を完了させることができます。これにより、セキュアな認証情報のローテーション管理が実現でき、当該認証情報に依存する業務システムの連続性も確約できます。
権限の許可と監視
リソースレベルのアクセス許可
Secrets ManagerはCAMと完全に統合されているため、機密性の高い認証情報へのアクセス権限を安全かつ精緻に管理するのに役立ちます。CAMでSecrets Managerユーザーまたはロールを作成し、ユーザーがSecrets Managerの中のどの認証情報にアクセスできるかを指定できます。さらに認証情報の確認、修正、削除等の操作権限も細かい粒度で管理できます。
精緻な監督管理と監査
Tencent CloudAuditと連携させることで、お客様のTencent Cloudアカウントに対する監督管理、コンプライアンスチェック、オペレーション監査、リスク監査等のサービスがサポートされます。全ての認証情報の管理操作とその使用状況の記録が可能です。これにはユーザー、時間、期日、API操作などの認証情報の全ての詳細情報が含まれ、記録を指定のCOSバケットに転送する際に利用することができます。
セキュリティコンプライアンス
コンプライアンス要件
Secrets ManagerはKMSと統合されています。KMSは第三者認証のハードウェアセキュリティモジュールHMS を使用してキーを生成および保護され、監督管理およびコンプライアンスの要求事項に適合させています。
高可用性ディザスタリカバリとバックアップ
Secrets Managerのアーキテクチャは、クラスター化されたデプロイ方式を採用し、分散データベースストレージシステムによってデータストレージとディザスタリカバリバックアップを実現します。また業務側ユーザーが、複数のリージョンで同じ認証情報を作成することができ、業務側からクロスリージョンディザスタリカバリも実現できます。1つのクラスターが故障した場合も、ユーザーはリージョンを切り替えるだけで済みます。
機能
機密情報
認証情報の検索
アプリケーションのソースコードからハードコードされた認証情報を削除して、コード内のハードコードされた認証情報をSecrets Manager APIの呼び出しに置き換えると、プログラムで認証情報を動的に検索、管理できるようになります。コードの漏洩時またはコードの閲覧者によりセンシティブ情報が取得されるのを回避する助けとなります。
認証情報のストレージ暗号化と転送
Name-Value方式によって、Secrets Managerに各種の機密データを保存できます。Value部分には、最大 4,096 バイトのデータベース接続、アカウントパスワード、IP ポートなどを含めることができます。Secrets Managerは、KMSによって安全に保護されたマスターキー(CMK)を暗号化キーとして使用し、保存されている機密性の高い認証情報を暗号化します。認証情報が要求される場合、TLS 経由でローカルサーバーに安全に転送されます。
アプリケーションレイヤーの認証情報のローテーション
Secrets Managerを利用することで、システム内で認証情報の内容の更新が完了できます。また当該認証情報を呼び出す全てのアプリケーションも、認証情報の手動更新を行うことなく、自動で同期を完了させることができます。これにより、セキュアな認証情報のローテーション管理が実現でき、当該認証情報に依存する業務システムの連続性も確約できます。
権限の許可と監視
リソースレベルのアクセス許可
Secrets ManagerはCAMと完全に統合されているため、機密性の高い認証情報へのアクセス権限を安全かつ精緻に管理するのに役立ちます。CAMでSecrets Managerユーザーまたはロールを作成し、ユーザーがSecrets Managerの中のどの認証情報にアクセスできるかを指定できます。さらに認証情報の確認、修正、削除等の操作権限も細かい粒度で管理できます。
精緻な監督管理と監査
Tencent CloudAuditと連携させることで、お客様のTencent Cloudアカウントに対する監督管理、コンプライアンスチェック、オペレーション監査、リスク監査等のサービスがサポートされます。全ての認証情報の管理操作とその使用状況の記録が可能です。これにはユーザー、時間、期日、API操作などの認証情報の全ての詳細情報が含まれ、記録を指定のCOSバケットに転送する際に利用することができます。
セキュリティコンプライアンス
コンプライアンス要件
Secrets ManagerはKMSと統合されています。KMSは第三者認証のハードウェアセキュリティモジュールHMS を使用してキーを生成および保護され、監督管理およびコンプライアンスの要求事項に適合させています。
高可用性ディザスタリカバリとバックアップ
Secrets Managerのアーキテクチャは、クラスター化されたデプロイ方式を採用し、分散データベースストレージシステムによってデータストレージとディザスタリカバリバックアップを実現します。また業務側ユーザーが、複数のリージョンで同じ認証情報を作成することができ、業務側からクロスリージョンディザスタリカバリも実現できます。1つのクラスターが故障した場合も、ユーザーはリージョンを切り替えるだけで済みます。
シナリオ
認証情報の集中管理
認証情報の検索と管理
アプリケーションレイヤーの認証情報のローテーション
テクニカルアプリケーション
業務開発の敏捷性を保障するため、システム内に存在する大量の機密性の高いアカウント情報、トークン、証明書、SSHキー、APIキー等などを対象に、Secrets Managerが機密認証情報の保存、検索、使用等の全ライフサイクルを一元管理します。
ユースケース
複数のアプリケーションの機密構成情報を、暗号化ストレージ、クエリー管理などの認証情報ライフサイクルで管理。
直面する課題
大量の機密認証情報が様々な業務部門や業務システムに分散。管理がばらばらで、集中管理のツールも不足。
ソリューション
業務の開発者がコンソールまたはSDKまたはTencent Cloud Command Line Interface(TCCLI)から機密構成情報を対象に認証情報の作成、利用、保存を行います。Secrets Managerを利用し、CAM、CloudAuditと連動させることで、業務管理者は、企業の認証情報の全ライフサイクルの一元管理を実現できます。
テクニカルアプリケーション
アプリケーションまたはサービスにアクセスして、ID認証の何らかのデジタル証明書(例:パスワード、トークン、証明書、SSHキーまたはAPIキー等の各種の機密情報)を作成する場合に、平文を直接アプリケーションのプロファイルに埋め込んで表示させると、通常、安全性が低くなります。Secrets Managerを利用することで、機密情報のハードコーディング等のリスクも効果的に回避できます。
ユースケース
データベース認証情報、APIキー、アカウントパスワード等の認証情報の管理。
直面する課題
機密性の高い認証情報のハードコーディング、平文での保存によるリスク。
ソリューション
コードの中のハードコードされた認証情報(パスワードも含む)をSecrets Manager APIの呼び出しに置き換えて、プログラムで認証情報を動的に検索できます。これによって、コードを閲覧した人からキーが漏洩するようなことがないように保証することができます。なぜなら、その中に機密性の高い認証情報が含まれていないからです。
テクニカルアプリケーション
システムの安全性向上のため、機密性の高い認証情報は定期的な更新が必要。
ユースケース
アプリケーションレイヤーの認証情報のローテーション。
直面する課題
ターゲットとなる認証情報に依存するアプリケーション/コンフィギュレーションの同時更新をリクエストすると、複数のアプリケーションシステムの認証情報の更新に漏れが生じ易く、アプリケーション中断のリスクが存在。
ソリューション
Secrets ManagerコンソールまたはAPIを介して認証情報を更新できます。ユーザーは、認証情報のフルローテーションまたはグレースケールローテーションを自ら選択し、ターゲットとなる認証情報に依存する全てのアプリケーションに対する同時更新を実現できます。
料金
Secrets Managerは認証情報の保存費用とAPIの呼び出し費用の二つの部分で構成されています。月単位の後払いの精算方式を採用し、毎月の3日〜5日が請求書発行日となります。前月に発生した費用の精算と控除を行い、請求書を出力します。さらに詳しく見る