はじめに
セキュリティはCLFで大きなウェイトを占めます。認証・認可、監査、暗号化、脅威対策など、誰が何を担当するか、どのサービスがどの役割かを整理しておくことが重要です。
このサービス・概念とは
アプリ秘密情報の安全管理について、CLFではAWS Secrets Managerが正解として問われることが多いです。認証情報をコード外で保管
解説
- AWS Secrets Managerは、DB認証情報やAPIキーなどの機密値を安全に保管し、アプリから取得できるサービスです。ローテーション機能も持つため運用負荷を下げられます。
- AWS Systems Managerは、パッチ適用や設定管理など運用タスクを一元化するサービスです。運用自動化と可視化を進める基盤になります。
- 設定値/パラメータ管理は、環境ごとの差分を安全に扱う運用の基本です。Systems Manager Parameter Storeなどを利用して管理します。
試験での考え方
「アプリ秘密情報の安全管理」と聞かれたらAWS Secrets Managerを選べるようにしましょう。類似サービス(監視ならCloudWatch、監査ならCloudTrail、準拠ならConfigなど)の役割の違いを押さえておくと迷いにくくなります。