HULFT-WebConnect、FTR通過
2023年12月、HULFT-WebConnectは、AWS ファンデーショナルテクニカルレビュー (FTR) を通過して、「AWS 認定ソフトウェア (AWS Qualified Software)」となりました。
FTRとは、セキュリティ、信頼性、優れた運用に関するリスクを低減するために、AWS のベストプラクティスに則っているかをチェックするためのレビューです。
AWS ファンデーショナルテクニカルレビュー
このFTRを通過するにあたって、AWSの提供するサービス Secrets Manager を利用しました。
なぜ AWS Secrets Manager を利用したのか?
FTRを通過するにあたって、認証情報の管理方法を改善する必要があるため、AWSの Secrets Manager サービスを利用しました。
AWS Well-Architected Framework の項目においても、シークレットを安全に保存して使用するための手法として、Secrets Manager の利用がガイダンスされています。
SEC02-BP03 シークレットを安全に保存して使用する
※AWS Well-Architected フレームワークとは・・・
AWS Well-Architected Framework
(AWS Well-Architected Framework 抜粋)
AWS Well-Architected フレームワークは、特定のアーキテクチャがクラウドのベストプラクティスと整合しているかどうかを理解するための一連の基本的な質問を文書化したものです。
Secrets Manager とは
Secrets Manager とは、データベースやアプリケーションの認証情報を、管理、取得、ローテーションするためのAWSのサービスです。
AWS Secrets Manager
利点として、以下があげられると私は理解しています。
- 認証情報を安全に管理できる
Secrets Manager を利用しない場合、認証情報を、コードや設定ファイルへハードコードすることになりますが、Secrets Manager 上へ保管することで、漏洩のリスクを軽減できます。 - 認証情報を一元管理できる
記載の通り、個別に認証情報を管理することなく、Secrets Manager 上で一元的に管理できます。 - 認証情報をローテーションできる
手動でローテーションすることなく、Secrets Manager で自動でローテーションできます。
AWS Secrets Manager を実際に活用してみて
Secrets Manager の使い方自体はとてもシンプルで、簡単に言うと、認証情報を、AWS CLI または、AWS マネジメントコンソールを通じて、AWS上に保管し、必要な時に取得・利用できる、というものです。
HULFT-WebConnectの開発においては、Secrets Manager 導入前までは、開発環境、CI/CD環境、各種ツール・スクリプトにおいて、それぞれ個別に認証情報の管理・設定を行っていました。
[Secrets Manager 導入前のイメージ]
Secrets Manager を導入したことで、個別に認証情報を保持する必要がなくなり、全てAWS上で管理できるようになりました。
[Secrets Manager 導入後のイメージ]
このように、一元管理できるようになったことで、すっきりとしたシンプルな構成になりました。
ただ、対応にあたっては、認証情報の利用個所を全て洗い出し、全ての箇所に修正を入れる必要がありました。
実際に対応する前までは、それほど手間のかかる作業だとは考えていなかったのですが、実際に対応してみると、思っていた以上に利用個所があって、全てを対応するのには苦労しました。
早めの導入がおすすめ
仮に最初からSecretsManagerを利用していれば、このような洗い出しや改修は必要なかったと思うので、早い段階で利用しておけばよかったなと思いました。
FTR通過を検討している方はもちろん、そうでない方であっても、認証情報の管理方法を模索している方は、ぜひ、Secrets Manager を活用してみて下さい!