Key Management Service (KMS) シークレットは、特定のAlibaba Cloudサービスに統合されています。 Alibaba Cloudサービスでシークレット名を設定すると、Alibaba CloudサービスはKMSからシークレット値を取得して特定の操作を実装できます。 これにより、Alibaba Cloudサービスで必要とされる機密シークレットが常に安全かつ体系的に管理され、手動による監視による秘密情報の漏洩のリスクが回避されます。
背景情報
KMSは、コード内のハードコードされたシークレットによって引き起こされる機密情報の漏洩のリスクを防ぐためのシークレット管理機能を提供します。 機密情報をシークレットとしてKMSに保存し、アプリケーションでシークレット名を設定できます。 機密情報を使用する場合、アプリケーションはKMSからシークレットの値を動的に取得します。 機密情報には、データベースアカウントのパスワード、サーバーアカウントのパスワード、SSHキーペア、およびアクセスキーが含まれます。 KMSを使用すると、ライフサイクル全体でシークレットを管理でき、アプリケーションは安全で効率的な方法でシークレットを使用できます。 これにより、許可されたユーザーとサービスのみがKMSにアクセスできます。
Alibaba CloudサービスへのKMSシークレットの統合
KMSでシークレットを一元管理し、Alibaba Cloudサービスでシークレット名を設定できます。 Alibaba Cloudサービスは、サービスに関連する権限が付与された後、秘密のメタデータを表示し、KMSから秘密の値を取得できます。 オペレータはシークレットを使用できますが、シークレットの詳細を見ることはできません。 この構成は、アクセス可能だが見えないというセキュリティ原則を満たし、秘密の漏洩のリスクを大幅に低減します。
KMSでシークレットを一元管理できます。 Alibaba Cloudサービスを使用すると、KMSでシークレットを使用できます。 その後、Alibaba CloudサービスはKMSからシークレットを取得し、そのシークレットをリアルタイムで使用します。 ActionTrailでシークレットの使用方法を照会できます。
KMSシークレットが統合されたAlibaba Cloudサービス
サービス名 | 説明 | 関連ドキュメント |
Container Service for Kubernetes (ACK) | ackでACK-secret-manager secret Kubernetesプラグインをインストールした後、プラグインでシークレット名を設定できます。 プラグインは、KMSから最新のシークレット値を定期的に読み取り、Kubernetesクラスターに値をキャッシュします。 次に、Kubernetes secretsでシークレットを使用するのと同じ方法で、KMSで管理されているシークレットを使用できます。 これにより、アプリケーションの開発および構築中の機密データの送信および漏洩が防止される。 | |
Bastionhost | ECSインスタンスのアカウントパスワードまたはSSHキーペアをECSシークレットとしてKMSに保存した後、ECSシークレットをBastionhostにインポートできます。 BastionhostがECSインスタンスへのリモート接続を確立すると、BastionhostはKMSからECSシークレットの値を取得します。 BastionhostでアカウントパスワードまたはSSHキーペアを入力する必要はありません。 セキュリティとコンプライアンスの要件を満たすために、KMSでECSシークレットの即時ローテーションを実行したり、自動ローテーションを設定したりできます。 | |
Data Management (DMS) | ApsaraDB RDSアカウントのパスワードをApsaraDB RDSシークレットとしてKMSに保存した後、DMSでシークレットを設定およびインポートできます。 DMSがApsaraDB RDSデータベースにリモート接続すると、DMSはKMSから関連するシークレットを自動的に取得します。 DMSでデータベースのアカウントパスワードを入力する必要はありません。 セキュリティとコンプライアンスの要件を満たすように、KMSでApsaraDB RDSシークレットの即時ローテーションまたは自動ローテーションを設定できます。 |