開発者が Lambda 関数のコード内で外部 API の秘密鍵を管理したいと考えています。秘密鍵は 90 日ごとに自動ローテーションされる必要があり、コストを最小化したいとのことです。最も適切な方法はどれですか?
- A. S3 バケットに暗号化して保存し、Lambda が起動時に取得する
- B. Lambda の環境変数に直接記述し、コンソール上で手動更新する
- C. AWS Secrets Manager に保存し、自動ローテーション設定を有効にする
- D. AWS Systems Manager Parameter Store(SecureString)に保存し、ローテーションは Lambda で定期実行する
解答と解説を見る
正解: C
Secrets Manager は自動ローテーション機能をネイティブに持ち、Lambda 関数を自動的にトリガーして秘密を更新できます。90 日ローテーションが要件であれば最小運用で実現できます。B は環境変数への直接記述はコード漏洩リスクがあり手動更新も負担です。D の Parameter Store は自動ローテーション機能を持たないため、追加の Lambda 実装が必要となり運用負荷が高くなります。A は S3 は秘密管理の専用サービスではなくアクセス制御も複雑になります。コスト面では Secrets Manager の方がやや高いですが、ローテーション要件を満たす最小構成という観点で C が正解です。
📚 関連サービスの解説: AWS Secrets Manager