by shigemk2

当面は技術的なことしか書かない

SSM vs Secrets Manager

AWS Systems Manager Parameter Storeのセキュアストリング(Secure String)とAWS Secrets Managerは、いずれもAWSで機密情報を保存および管理するためのサービスですが、機能面と使用ケースでいくつかの重要な違いがあります。

AWS Systems Manager Parameter Store(セキュアストリング)

  1. 主な用途: 主にシステムパラメータや設定情報の保存・管理に使用されます。

  2. 機能:

    • 文字列、文字列リスト、セキュアストリング(暗号化されたデータ)の保存が可能です。
    • AWS KMS(Key Management Service)を使用してセキュアストリングを暗号化します。
    • シンプルな機密情報の管理に適していますが、Secrets Managerほどの高度な機能は提供しません。
  3. コスト: 基本的に低コストで、少量のデータに適しています。

  4. 利用シナリオ: アプリケーション設定、データベース接続文字列、簡易な認証情報の保存など。

AWS Secrets Manager

  1. 主な用途: より複雑な機密情報(例えば、データベースの認証情報、APIキー)の管理・回転に特化しています。

  2. 機能:

    • 機密情報の保存、取得、管理が可能です。
    • シークレットの自動回転機能をサポートしており、定期的に認証情報を自動更新できます。
    • AWS KMSによる暗号化を使用し、セキュリティの高い管理を実現します。
    • より高度な監査および監視機能を提供します。
  3. コスト: Parameter Storeに比べて高コストですが、より高度な機能を提供します。

  4. 利用シナリオ: データベースパスワード、APIキー、サードパーティのサービスへの認証情報の安全な保存と管理、シークレットの定期的な自動回転など。

結論

選択は、管理したい情報の種類と必要な機能によって異なります。簡単な機密データの保存や管理が目的ならばParameter Storeが適していますが、シークレットの自動回転や高度な監査機能が必要な場合はSecrets Managerの方が適しています。また、コスト面でも考慮が必要です。Secrets Managerはより高度な機能を提供しますが、それに伴ってコストも高くなります。