AWS Systems Manager (SSM) とは
AWSリソースやOSレベルの運用管理を一元化するサービス群
運用・構成・自動化の“統合管理ハブ”的なサービスです。
| 機能名 | 内容 |
|---|---|
| Session Manager | SSH不要でEC2に安全にログイン |
| Run Command | EC2やオンプレに一斉コマンド実行 |
| Automation | 定型タスクを自動化(AMI更新など) |
| Inventory | インスタンスの構成情報収集 |
| Patch Manager | OSパッチ適用を自動化 |
| Parameter Store | 設定値やシークレットを安全に保管 |
AWS Systems Manager Parameter Store(パラメータストア)
AWSリソースの設定値やシークレット情報(パスワード、APIキーなど)を安全に保管するサービス。
環境変数のように使えます。
主な特徴
- 階層構造でパラメータ管理(例:
/dev/db/password) - 値を 平文またはKMS暗号化 して保存可能
- 取得は API / CLI / SDK から可能
- 無料(標準パラメータ)、有料(高性能パラメータ) がある
- CloudFormation / Lambda / EC2 / ECS などと簡単に統合
-- 階層の例
/my-app/dev/DB_URL
/my-app/dev/DB_password
/my-app/prod/DB_URL
/my-app/prod/DB_password
ユースケース
- 環境変数、DB接続文字列、APIキーなどの管理
- CI/CDで設定情報を自動注入
AWS Secrets Manager
アプリケーションの機密情報(特にデータベース認証情報やAPIキー)を安全に管理・自動ローテーションするサービス。
主な特徴
- Secretsの自動ローテーション(例:RDS認証情報を自動更新)
- KMSでの暗号化を標準サポート
- Lambdaを使ったカスタムローテーション対応
- CloudTrailで操作ログを記録
- 有料(保存数とAPI呼び出しで課金)
ユースケース
- RDS/AuroraのDBパスワードを定期的に自動変更
- 外部APIトークン、OAuthキーの安全保管
Secrets Manager vs Parameter Store 比較
| 項目 | Parameter Store | Secrets Manager |
|---|---|---|
| 主目的 | 設定値や機密情報の安全な保存 | 機密情報の安全管理+自動ローテーション |
| 暗号化 | KMS対応(オプション) | KMS対応(標準) |
| ローテーション | 手動 | 自動(Lambdaベース) |
| 料金 | 基本無料(Standard) | 有料(Secret数・API呼び出し単位) |
| 主な利用例 | 環境設定、APIキー | DBパスワード、OAuthトークン |
| アクセス制御 | IAMポリシーで制御 | IAM+ローテーションポリシー |
まとめ
- Parameter Store → 「アプリ設定や環境変数を安全に保存したい」
- Secrets Manager → 「DBやAPIキーなどのシークレットを安全に管理+定期的に自動更新したい」
ポイント
- Secrets Managerは自動ローテーションがキーワード
- Parameter Storeは安価で設定値管理に最適
- どちらもKMS暗号化とIAMによるアクセス制御が可能
- SSMは運用管理の統合サービスであり、その中の機能のひとつがParameter Store