目次
まず結論から言っちゃうと…
白翎 / AWS次長機密情報を安全にAWS上で管理と保管することをサポートしてるAWSサービスだよ!
- 回転が必要な本物のシークレット(DBパスワードとか) → AWS Secrets Manager一択
- シンプルな設定値やたまにしか変わらないキー → SSM Parameter Storeで十分(しかも無料枠多い)
どっちもKMSで暗号化されるから安全だけど、使い分けが大事。 間違えるとコスト爆増したり、回転忘れてセキュリティホール作ったりするから気をつけろよ!
なぜ機密情報をコードに書いちゃダメなの?
Gitにコミット = 「全世界へ公開処刑」
- 現象: コードにパスワードを書いて
git pushした瞬間、世界中のハッカー(とボット)がニヤリとする。 - 例え: 家の鍵を玄関のドアにガムテープで貼り付けて「留守です!」って叫んでるようなもん。
- 結果: クレカ情報抜かれて会社がニュースになる。お前は伝説になる(悪い意味で)。
EC2環境変数&ログ = 「記憶喪失のお漏らし野郎」
- 現象: 再起動したら変数が消える。起動スクリプトに書いたらログにガッツリ残る。
- 例え: 大事なメモを浜辺の砂に書くようなもん(波=再起動で消える)。しかも、その横で拡声器を使って内容を叫んでる(ログ=丸見え)。
セキュリティ監査 = 「即・死・刑」
- 現象: ハードコーディングが見つかった時点で、監査は一発アウト。
- AWSの言い分: 「専用の金庫(Secrets Manager/Parameter Store)用意してやってんのに、なんで床に金置いてんの?バカなの?」(超意訳)
AWSの機密情報保管サービス2大巨頭
1. AWS Secrets Manager(愛称:ブルジョワ金庫)
「金は払うから、面倒なことは全部やれ」という人向け。
- 正体: シークレット専用のガチ勢。
- 必殺技:自動回転(オートローテーション)。
- DBのパスワードとかを、人間が寝てる間に勝手に新しいのに変えてくれる。「えっ、まだ手動で変更してんの?」ってマウント取れる機能。
- お値段: リッチ価格。置いておくだけで月額$0.40/個。さらに使うたびにチャリンチャリン(API課金)。
- 結論: DBのパスワードみたいに「漏れたら即死」&「定期的に変えなきゃダメ」なやつは迷わずこれ。
2. Systems Manager Parameter Store(愛称:コスパ最強ロッカー)
「無料だし、とりあえずここに全部突っ込んどくか」という実家のような安心感。
- 正体: 設定値も機密情報もなんでも預かる「よろず屋」。
- 特技: 無料枠が神。普通の文字(String)も、暗号化(SecureString)も、標準(4KB以下)ならタダで置ける。
- ※注意: 調子に乗って4KB以上の長文を突っ込んだりすると「アドバンスドパラメータ」扱いになって課金されるぞ。あくまで「標準」なら無料だ。覚えとけ。
- ただし: パスワードの自動変更機能はない。「自分で変えてね(テヘペロwwwww)」スタイル。
- 階層管理:
/prod/db/passwordみたいにディレクトリっぽく整理できるから几帳面な人にはたまらん。 - 結論: APIキーとか、環境変数とか、「一度決めたらしばらく変わらん」やつは全部こっちでOK。
比較表で一発勝負(2026年最新情報ベース)
| 項目 | Secrets Manager | Parameter Store (SecureString) |
|---|---|---|
| 自動回転 | ◎(ネイティブ対応) | ×(自分でLambda必要) |
| バージョン管理 | ◎ | ×(最新のみ) |
| クロスアカウント共有 | ◎ | △(IAMで可能だけど面倒) |
| KMS暗号化 | ◎(デフォルトCMK推奨) | ◎(指定必須) |
| 料金 | 高め(シークレット単位課金) | 安め(APIコール課金メイン) |
| 取得コードの簡単さ | ◎ | ◎ |
| 無料枠 | 30日トライアルのみ | 標準パラメータ大量無料 |
回転が必要ならSecrets Manager、コスト重視ならParameter Store。
ベストプラクティス(これ守らないと怒るぞ)
1. 鍵は「自前」を使え(CMK)
- デフォルト鍵: 「みんなと一緒の鍵」なんて、実家の裏口かよ。
- 掟: Customer Managed Key (CMK) を作れ!
- 理由: 誰が鍵を使えるか自分で決められるし、何かあったらその鍵だけ無効化できる。「セキュリティ意識高い系」への第一歩だ。
2. 権限は「ドケチ」になれ(最小権限)
- NG行為:
Resource: "*"(すべて許可) ← これ書いた瞬間、即・採・用・取・消。 - 掟: 必要なアプリに、必要なシークレットだけ触らせろ。
- 理由: 「バイトに金庫の鍵」渡すバカいないだろ?それと同じだ。
3. パスワードは「生鮮食品」だ(自動回転)
- 現状: 3年前と同じパスワード使ってる?腐ってるぞそれ。
- 掟: 最低90日で回転させろ!Secrets Managerならポチるだけで勝手にやってくれる。
- 理由: 漏洩しても、気づいた頃にはもう古いパスワード。「ハッカーざまぁw」と言える唯一の方法。
4. ログに出すな、脳内(メモリ)に留めろ
- NG行為:
print(password)← これやった奴は廊下に立ってろ。 - 掟: 起動時にメモリに読み込んで、使い終わったら忘れる。ログには絶対に残すな。
- 理由: ログファイルは泥棒の「宝の地図」になりかねないからな。
5. 監視カメラを回せ(CloudTrail)
- 掟: CloudTrail で「誰が・いつ」シークレットを見たか全部録画しろ。
- 理由: 「俺やってないっす」なんて言い訳は通用しない。証拠ログ突きつけて詰めろ。
まとめ:お前はどっち派?
- 本気でセキュリティやりたい → Secrets Managerに全振り
- コスト抑えて賢くやりたい → Parameter Storeから始めて、必要に応じて移行
2026年になっても基本は変わってない。AWS公式も「回転が必要ならSecrets Manager、それ以外はParameter StoreかAppConfig(設定値の配信に特化したサービス)」って推奨してる。 お前も今日からハードコーディング卒業しろよ?笑
コメント