AWS Secrets Managerとは
データベースパスワード・APIキー・OAuth トークンなどのシークレットを安全に保存・管理・ローテーションするサービス。RDS・Redshift・DocumentDBとのネイティブ統合により、Lambdaを使ったパスワードの自動ローテーションが可能。
KMSによる暗号化、CloudTrailによるアクセス監査、クロスアカウント共有をサポート。VPCエンドポイント経由でプライベートにアクセスできる。
試験での問われ方
「DBパスワードをコードにハードコードせず管理したい」「定期的に自動ローテーションしたい」シナリオではSecrets Managerを選ぶ。Systems Manager Parameter Store(SecureString)との違いはローテーション自動化とコスト(Secrets Managerは有料)。
DVAではLambdaからSecretsManagerにAPIコールしてシークレット取得する実装と、キャッシュしてAPI呼び出し回数を減らす最適化が問われる。
このサービスが登場する演習問題(13問)
- 【CLF-C02】あるスタートアップ企業が、AWSでアプリケーションを開発しています。データベースのパスワードやAPIキーなどのシークレッ…
- 【SAA-C03】ある企業が、Lambda 関数から Amazon RDS for MySQL へ接続するアーキテクチャを構築している。デ…
- 【SAA-C03】ある企業の EC2 上で動くアプリケーションが、データベースのパスワードや外部 API の認証情報をソースコード内にハー…
- 【SAA-C03】ある企業が、AWS Transfer Family を使用して社外パートナーとの SFTP によるファイル転送を実現した…
- 【DVA-C02】ある金融系企業のLambda関数が、外部決済APIのシークレットキーを使用している。コンプライアンス要件として「シークレ…
- 【DVA-C02】ある企業がAPI GatewayとLambdaで構成されたAPIを運用しており、Lambdaのコードの中でAPIレスポン…
- 【DVA-C02】あるチームが、Lambda関数でVPC内のRDS Aurora(PostgreSQL)に接続するアプリケーションを構築し…
- 【DVA-C02】開発者が Lambda 関数のコード内で外部 API の秘密鍵を管理したいと考えています。秘密鍵は 90 日ごとに自動ロ…
- 【DVA-C02】ある企業は本番環境のデータベース接続文字列(ホスト名・ユーザー名・パスワード)を安全に管理したいと考えています。データベ…
- 【DVA-C02】ある開発チームは Lambda 関数から Secrets Manager のシークレットを取得するコードを実装しています…
- 【DVA-C02】あるチームがAWS CodeBuildのbuildspec.ymlを作成している。ビルドステージで環境変数として使うデー…
- 【SAP-C02】ある企業が AWS Transfer Family を使ってオンプレミスの SFTP サーバーを AWS に移行しようと…
- 【SAP-C02】ある企業が AWS 上で稼働する Amazon ECS コンテナの Secret 管理を改善したいと考えています。現在、…