すべてのプロダクト
Search

このプロダクト

    :シークレット管理に関するFAQ

    ドキュメントセンター

    :シークレット管理に関するFAQ

    最終更新日:Dec 18, 2024

    このトピックでは、秘密に関するよくある質問に対する回答を提供します。

    質問

    KMSはどのように秘密のセキュリティを保証しますか?

    インスタンスでシークレットを作成するときは、シークレット暗号化のためにインスタンスで対称キーを指定する必要があります。 Key Management Service (KMS) は、対称キーを使用してデータキーを生成し、そのデータキーを使用してシークレットを暗号化し、シークレットを専用ストレージに保存します。 この暗号化メカニズムは、エンベロープ暗号化と呼ばれる。

    説明

    KMSは、バージョンのシークレット名、バージョン番号、ステージラベルなどのシークレットメタデータを暗号化しません。

    アプリケーションがシークレットを要求すると、KMSは、Resource Access Management (RAM) またはアプリケーションアクセスポイント (AAP) を使用して、アプリケーションのID認証と権限チェックを実行します。 アプリケーションが認証とアクセス許可のチェックに合格すると、KMSはシークレットを復号化し、TLS 1.2を介してシークレットのプレーンテキストをアプリケーションに返します。

    シークレットはどのように暗号化されますか?

    KMSは、エンベロープ暗号化を使用してシークレットを暗号化します。 エンベロープ暗号化で使用されるキーは、シークレットを作成するときに指定するキーです。 エンベロープ暗号化の詳細については、「エンベロープ暗号化の使用」をご参照ください。

    ローテーションポリシーを設定するか、すぐにシークレットをローテーションすると、"Your secret is being rotated. Try again later." というエラーメッセージが表示されます。 これはなぜですか?

    秘密のタイプ

    考えられる原因

    リソースアクセス管理 (RAM) シークレット

    RAMシークレットはローテーション中です。

    自動ローテーションのローテーション期間は約48時間です。 即時回転の回転期間は、指定した回転ウィンドウです。

    ローテーションウィンドウでローテーションが完了していない場合は、RAMユーザーがまだRAMに存在するかどうかを確認します。

    ApsaraDB RDSシークレット

    ほとんどの場合、ApsaraDB RDSシークレットのローテーションはすぐに完了します。 ローテーションが2分以上完了しない場合は、必要なRDSインスタンスと必要なApsaraDB RDSアカウントが期待どおりに機能するかどうかを確認します。

    ECS (Elastic Compute Service) シークレット

    ほとんどの場合、ECSシークレットのローテーションはすぐに完了します。 ローテーションが2分以上完了しない場合は、必要なECSインスタンスと必要なECSアカウントが期待どおりに機能するかどうかを確認します。

    シークレットが使用できない場合、またはシークレット関連のAPI操作を呼び出すときに "Rejected. unavailable" が返された場合はどうすればよいですか?

    シークレットが属するKMSインスタンスの有効期限が切れています。

    有効期限が切れてから15日以内にKMSインスタンスを更新します。 それ以外の場合、KMSインスタンスはリリースされます。 詳細については、「更新」をご参照ください。

    KMSインスタンスを使用したくないが、後でインスタンスにキーまたはシークレットが必要になる場合は、事前にインスタンスをバックアップすることをお勧めします。 詳細については、「バックアップ」をご参照ください。

    、新しいバージョンのKMSコンソールで作成されたシークレットが見つかりません。 理由は何ですか?

    説明

    新しいバージョンのKMSコンソールには、KMSインスタンスで管理されているシークレットのみが表示されます。

    古いバージョンのKMSを使用する場合、KMSインスタンスを購入せずにシークレットを作成できます。 ただし、新しいバージョンのKMSコンソールでは、作成されたシークレットを表示できません。 このような秘密を表示するには、古いバージョンのKMSコンソールに移動します。

    image.png

    ApsaraDB RDSシークレットのアカウントチェックが失敗します。 これはなぜですか?

    ほとんどの場合、これは、RDSシークレットに関連付けられているApsaraDB RDSアカウントまたはApsaraDB RDSインスタンスが削除されたためです。 ApsaraDB RDSアカウントまたはApsaraDB RDSインスタンスがApsaraDB RDSに存在するかどうかを確認することを推奨します。

    RAMシークレットの作成中にKMSがAccessKeyペアにアクセスすることを許可するときに、「クラウドリソースアクセス許可に失敗しました」というメッセージが表示された場合はどうすればよいですか?

    この問題は、現在ログオンしているRAMアカウントにクラウドリソースへのアクセス許可がないために発生します。 [Cloud Resource Access Authorization] リンクをRAM管理者またはAlibaba Cloudアカウント所有者に送信します。 承認が完了したら、RAMシークレット作成ページに戻り、更新ボタンをクリックします。 その後、RAMシークレットを作成できます。 RAMシークレットの作成方法については、「手順2: RAMシークレットの作成」をご参照ください。

    image