AWS Secrets Manager

Virtual DataPort では AWS Secrets Manager から資格情報を取得する手段として 2 種類のモードをサポートします。

  • Default Credential Provider: AWS のデフォルトの認証情報プロバイダーチェーンを使用して、資格情報保管方法に接続します。構成時に資格情報は要求されません。

  • Access Keys: AWS アクセスキーを使用して、CyberArk 経由で資格情報保管方法に接続します。

デフォルト認証情報プロバイダー

このモードでは AWS SDK を使用して、 AWS のデフォルトの認証情報プロバイダーチェーン に従った認証を行います。

Virtual DataPort は資格情報を要求しません。認証方法に [Default Credential Provider] を指定してください。

Enabling AWS Secrets Manager Default Credential Provider

Access Keys

このモードでは、資格情報保管方法による認証に AWS キーが必要となります。

認証方法に [Access Keys] を指定してください。

Enabling AWS Secrets Manager Access Keys

以下のデータを指定する必要があります。

  • AWS access key id: ユーザーのアクセスキー

  • AWS secret access key: ユーザーのシークレットアクセスキー

  • AWS region: シークレットが定義されたリージョン

AWS Secrets Manager のシークレットの命名規則

AWS Secrets Manager では、情報の保存に用いるフィールド名を指定する「 他の種類のシークレット 」を作成できます。Virtual DataPort は、この種類のシークレットが次の命名規則に従って作成されているものと見なします。

  • ユーザー名: username という名称のフィールドで指定されていると見なします。

  • パスワード: password という名称のフィールドで指定されていると見なします。

  • AWS アクセスキー: access_key という名称のフィールドで指定されていると見なします。

  • AWS シークレットキー: secret_key という名称のフィールドで指定されていると見なします。

ユーザー/パスワード資格情報を含むシークレットの例

{
  "username": "my-user",
  "password": "my-password"
}

AWS 資格情報を含むシークレットの例

{
  "access_key": "my-access-key",
  "secret_key": "my-secret-key"
}

要求されるポリシー

Virtual DataPort は AWS Systems Manager Parameter Store を通じて AWS Secrets Manager にアクセスします。よって、少なくとも両システムに対する READ アクセス権を付与するポリシーを、使用する AWS ユーザーにアタッチする必要があります。

たとえば、次の 2 つのポリシーをアタッチします。

  • デフォルト AWS ポリシー AmazonSSMReadOnlyAccess

  • AWS Secrets Manager への読み取りアクセス権のみを付与するカスタムポリシー。以下に例を示します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

なお、Secrets Manager への READ/WRITE を許可するデフォルト AWS ポリシー SecretsManagerReadWrite が存在し、こちらも利用可能です。