AWS Secrets Manager / SSM Parameter Store:クラウドネイティブな秘密情報管理サービス
KoAN
目次
AWSのマネージド秘密管理サービス「AWS Secrets Manager / SSM Parameter Store」の概要
AWS Secrets Manager / SSM Parameter Storeとは何か
AWS Secrets Manager と SSM Parameter Store は、 :contentReference[oaicite:1]{index=1} が提供するクラウドネイティブな秘密情報管理サービスです。
どちらもアプリケーションやインフラが利用するパスワード・トークン・設定値を安全に保存・取得するための仕組みですが、 設計思想・用途・コストに明確な違いがあります。
AWS Secrets Managerの概要
AWS Secrets Managerは、データベース認証情報やAPIキーなどの 機密性の高いシークレットを安全に管理・自動ローテーションすることに特化したサービスです。
主な特徴
- シークレット専用設計: 機密情報の管理に最適化
- 自動ローテーション: RDS / Aurora などと連携可能
- IAM連携: アクセス制御を細かく設定可能
- SDK/API利用: 実行時に動的取得
管理できる情報
- データベースのユーザー名・パスワード
- APIキー・アクセストークン
- 外部サービス認証情報
SSM Parameter Storeの概要
SSM Parameter Store(AWS Systems Manager Parameter Store)は、 設定値・パラメータ・簡易的な秘密情報を階層構造で管理できるサービスです。
Secrets Managerほどの高機能はありませんが、 低コストかつ軽量に使える点が大きな魅力です。
主な特徴
- 階層型パラメータ:
/prod/app/db/hostのような管理 - SecureString対応: KMSで暗号化可能
- 無料枠あり: 小規模環境で使いやすい
- IaC親和性: CloudFormation / Terraform と好相性
管理できる情報
- アプリケーション設定値
- 環境変数
- 簡易的なシークレット
Secrets Manager と Parameter Store の違い
| 項目 | Secrets Manager | SSM Parameter Store |
|---|---|---|
| 主用途 | 機密情報管理 | 設定値・軽量シークレット |
| 自動ローテーション | ◯ | × |
| 階層管理 | △ | ◯ |
| コスト | 有料(シークレット単位) | 低コスト(無料枠あり) |
| 対象規模 | 中〜大規模 | 小〜中規模 |
HashiCorp Vaultとの思想的な違い
- Vault: マルチクラウド・動的シークレット・独立基盤
- AWS Secrets Manager: AWS密結合・マネージド
- SSM Parameter Store: 設定管理寄り・軽量
AWS環境に完全に閉じるのであれば、マネージドである分、 Secrets Manager / Parameter Store は非常に扱いやすい選択肢です。
向いている利用シーン
- AWS上で完結するシステム
- IAMベースでアクセス制御したい場合
- インフラ運用コストを下げたい場合
- Lambda / ECS / EKS からの利用
向いていないケース
- マルチクラウド環境
- オンプレミスとの共通基盤が必要な場合
- 高度な動的クレデンシャル管理が必要な場合
AWS Secrets Manager / SSM Parameter Store の位置づけ
- 個人・最小構成:
pass - チーム共有:
gopass - 軽量暗号化:
age - 設定ファイル暗号化:
sops - クラウドマネージド秘密管理:
AWS Secrets Manager / SSM Parameter Store - 集中秘密管理基盤:
Vault
まとめ
AWS Secrets Manager と SSM Parameter Store は、 AWS環境における実運用向けの秘密管理サービスです。
- 機密情報・ローテーション重視 → Secrets Manager
- 設定値・コスト重視 → SSM Parameter Store
AWS上でシステムを完結させる場合、これらはVaultの軽量代替として非常に現実的で、 クラウドネイティブな設計思想をそのまま享受できる選択肢と言えるでしょう。
