AWS Systems Manager パラメータストア

AWS Systems Manager パラメータストアとは

AWS Systems Manager パラメータストアは、パスワードなどの機密情報を安全に保管するために利用できる。保管されるデータはパラメータ値と呼ばれ、KMSを利用して暗号化、復号される。

暗号化、復号

パラメータを作成するときまたは変更するときに、KMSのCMK(カスタマーマスターキー)で暗号化され、アクセス時にCMKを利用して復号される。CMKは、パラメータストアがアカウント用に作成するAWS管理のCMKを利用するか、独自のカスタマー管理のCMKを利用出来る。

暗号化に必要な権限設定

・パラメータストアにデータを保存する設定(ssm:PutParameter)

・パラメータを暗号化するためのKMSの権限(例：kms:GenerateDataKey)

復号に必要な権限設定

EC2サーバがパラメータを取得して利用に必要な権限設定は

・パラメータストアからデータを取得する権限(ssm:GetParameter*)

・KMSの復号キーを利用するための権限