動的なECS (Elastic Compute Service) シークレットを作成し、ECSシークレットを手動で回転させて、ECSシークレットリークのリスクを減らすことができます。 Secrets Managerは、ECSシークレットを定期的に自動的にローテーションすることもできます。 このトピックでは、Key Management Service (KMS) コンソールで動的ECSシークレットを作成、回転、削除、および復元する方法について説明します。

始める前に

  • ECS インスタンスを作成済み。 詳細は、「ECS インスタンスの作成」をご参照ください。
  • 動的ECSシークレットを管理する権限を持つAlibaba CloudアカウントまたはRAMユーザーまたはRAMロールを取得します。

    RAMユーザーまたはRAMロールを使用してシークレットを管理する場合は、RAMユーザーまたはRAMロールにシステムポリシーAliyunKMSSecretAdminAccessをアタッチする必要があります。 このポリシーは、次の権限を付与します。

    • Secrets Managerの機能を使用するための権限。
    • ECSインスタンスを照会する権限。
    • 動的ECSシークレットを作成できるサービスにリンクされたロールを作成する権限。

    詳細については、「RAM ユーザーへの権限付与」および「RAM ロールへの権限付与」をご参照ください。

Create a dynamic ECS Secret

  1. KMS コ ンソールにログインします。
  2. 上部のナビゲーションバーで、シークレットを作成するリージョンを選択します。
    シークレットのリージョンは、シークレットを作成するECSインスタンスのリージョンと同じである必要があります。
  3. 左側のナビゲーションウィンドウで、[秘密] をクリックします。
  4. [シークレットの作成] をクリックします。
  5. [シークレットの作成] ダイアログボックスで、次のパラメーターを設定し、[次へ] をクリックします。
    • [タイプの選択]: [管理ECSシークレット] を選択します。
    • Secret name: シークレットの名前を指定します。
    • マネージドインスタンス: Alibaba Cloudアカウント内の既存のECSインスタンスを選択します。
    • 管理対象ユーザー: LinuxオペレーティングシステムのrootまたはWindowsオペレーティングシステムのAdministratorなど、ECSインスタンス上の既存ユーザーの名前を入力します。
    • 初期シークレット値: [パスワード] または [キーペア] を選択し、初期値を入力します。
      初期値が無効な場合、ECSシークレットが初めてローテーションされた後、有効なパスワードまたはAccessKeyペアを取得できます。
    • シークレットの説明: ECSシークレットの説明を入力します。
  6. Configuration rotation ダイアログボックスで, Turn on automatic rotationを選択, Rotation Period パラメータを設定し, Nextをクリックします。
    ECSシークレットを自動的にローテーションしない場合は、[自動ローテーションをオフにする] を選択します。
  7. [レビューと確認] ダイアログボックスで、シークレットの設定を確認し、[OK] をクリックします。
    シークレットが作成されたら、シークレットリストでシークレットを表示できます。 シークレットの [Secret Type] パラメーターは、[Managed ECS secret] です。

動的ECSシークレットの回転

動的ECSシークレットが漏洩した場合、KMSコンソールで直ちにECSシークレットを回転させて、侵入リスクを排除できます。

  1. 回転するECSシークレットの名前をクリックします。 シークレットの詳細ページで、右上隅の [すぐに回転] をクリックします。
  2. [プロンプト] ダイアログボックスで、[カスタムシークレットの使用] をオンまたはオフにします。
    • スイッチをオンにする場合は、新しいシークレット値を指定する必要があります。
    • スイッチをオフにすると、KMSは32文字のランダムなパスワードまたはRSA-2048の公開鍵と秘密鍵のペアを自動的に作成します。
  3. [ローテーションの確認] をクリックします。
  4. [Rotation triggered] メッセージで、[閉じる] をクリックします。

Delete a dynamic ECS secret

動的ECSシークレットを削除する前に、ECSシークレットが使用されていないことを確認してください。

動的ECSシークレットの削除をスケジュールするか、動的ECSシークレットを直ちに削除できます。 動的ECSシークレットを削除しても、ECSインスタンスに設定されているパスワードと公開鍵と秘密鍵のペアは影響を受けません。

  1. 削除するダイナミックECSシークレットを見つけて、[操作] 列の [詳細] > [削除シークレットの計画] を選択します。
  2. [シークレットの削除] ダイアログボックスで、シークレットを削除する方法を選択し、[OK] をクリックします。
    • [Plan Deletion Secret] を選択した場合、[Delete In (7-30日)] パラメーターを設定する必要があります。 次に、システムは指定された日数後にシークレットを削除します。

      システムがシークレットを削除する前に、シークレットを復元して削除をキャンセルできます。 詳細については、「動的ECSシークレットの復元」をご参照ください。

    • [シークレットをすぐに削除] を選択した場合、システムはシークレットをすぐに削除します。

動的ECSシークレットの復元

動的なApsaraDB RDSの秘密を削除するようにスケジュールした場合、システムが秘密を削除する前に、秘密を復元して削除をキャンセルすることができます。 動的ECSシークレットが復元された後、通常どおり使用できます。

  1. 復元するダイナミックECSシークレットを見つけ、[操作] 列の [詳細] > [シークレットの復元] を選択します。
  2. Restore Secret メッセージで, OKをクリック.