シークレットマネージャ
[更新日: 2025年10月15日]
「シークレットマネージャ」の仕様詳細や作成・利用方法についての説明ページです。
概要
シークレットマネージャは、お客様のシークレット情報を安全に管理・保管するためのサービスです。 コントロールパネル上では「シークレット保管庫」として管理され、暗号化された状態でシークレット情報が保存されます。
セキュリティ シークレット情報を暗号化して保存し、厳格なアクセス制御により機密情報を保護します。
集中管理 複数のアプリケーションやサービスで利用されるシークレット情報を一元的に管理でき、運用効率が向上します。
仕様
本サービスで提供されるシークレットマネージャの仕様は以下の通りです。
仕様 |
詳細 |
|---|---|
シークレット値の最大サイズ |
65,536 バイト(約 64 KB) |
1契約に保管できるシークレット数 |
100個 |
API リクエスト |
毎分100リクエスト |
※APIリクエスト数については目安となっております。アクセス過多の場合にはスロットリングされる場合がございます。
リソース単位と料金
お客様が作成されたシークレット保管庫単位での課金が行われます。 シークレット保管庫が作成されてから削除されるまでの間課金が行われます。
項目 |
詳細 |
|---|---|
サービス利用料金 |
料金については サービスサイト をご確認ください |
利用手順
シークレットマネージャは以下の手順で作成・設定を行います。
注意
シークレットマネージャのご利用にあたっては事前にKMSサービスのご利用が必要となります。
シークレット保管庫の作成
注釈
シークレット保管庫はゾーンに依存しないグローバルリソースです。そのため、シークレット保管庫の一覧画面には選択中のプロジェクト内で作成したすべてのシークレット保管庫が表示されます。
左メニューの「グローバル」カテゴリ内にある「シークレット保管庫」をクリックします。作成済みのシークレット保管庫がある場合はメイン画面内にリスト表示されます。新規に作成する場合は「追加」ボタンをクリックします。
シークレット保管庫の新規作成画面が表示されるので、必要な項目を選択・入力し、作成ボタンをクリックします。
各項目の説明は以下の通りです。
使用するKMSキー(*) |
暗号化に用いるKMSの暗号鍵を選択します。 |
|---|---|
名前 / 説明 / タグ / アイコン |
サーバやディスク、他のアプライアンスと同様に、わかりやすい名前設定やタグ、アイコン機能による分類が可能です。 |
※「*」は必須項目です
※シークレット保管庫一覧画面から対象のシークレット保管庫をダブルクリック、または選択後に「詳細」をクリックするとシークレット保管庫詳細画面が表示されるので、この画面内の「削除」ボタンをクリックすることで作成済みのシークレット保管庫を削除できます。
シークレット情報の登録
シークレット保管庫の詳細画面より「シークレット」のタブを選択します。
登録画面が表示され、名前の項目と値の項目を入力し追加ください。
名前(*) |
シークレットの値を取り出すための一意の名称となります。 |
|---|---|
値(*) |
シークレットの名前より呼び出される値となります。 |
※「*」は必須項目です
APIの利用
APIの詳細なドキュメントにつきましては、以下のリンクからご参照ください。
KMS/SecretManager/CloudHSM API ドキュメント
API エンドポイント
https://secure.sakura.ad.jp/cloud/zone/{ゾーン名}/api/cloud/1.1/secretmanager
※ ゾーン名は提供中の全てのゾーンが有効です。
主要な API 操作
Vault(シークレット保管庫)関連
GET /vaults シークレット保管庫の一覧を取得します。
POST /vaults 新規シークレット保管庫を作成します。
GET /vaults/{resource_id} 指定したシークレット保管庫の詳細情報を取得します。
PUT /vaults/{resource_id} シークレット保管庫の情報を更新します。
DELETE /vaults/{resource_id} シークレット保管庫を削除します。
Secret(シークレット)関連
GET /vaults/{vault_resource_id}/secrets 指定したVault内のシークレット一覧を取得します。
POST /vaults/{vault_resource_id}/secrets シークレットの作成または更新を行います。
DELETE /vaults/{vault_resource_id}/secrets シークレットの削除を行います。
POST /vaults/{vault_resource_id}/secrets/unveil シークレットの復号を行い、情報を取得します。
シークレットローテーション
概要
シークレットローテーションはシステムで使われるシークレット情報を定期的に自動更新するサービスです。シークレットマネージャの保管庫に登録されたデータベースアプライアンス、エンハンスドデータベースのシークレット情報が更新できます。
データベースアプライアンス、エンハンスドデータベースの更新対象リソースに対し更新間隔を登録することで、パスワードの自動更新を行いシークレットマネーやに登録されたシークレットを更新します。
定期更新が求められるコンプライアンス要件への対応や人的作業ミス防止に役立つサービスです。
機能の特徴
更新対象へのアクセスに必要なパスワードやAPIキーの自動更新を行い、更新結果をシークレットに登録します。
変更対象は 「データベース(アプライアンス)PostgreSQL、MariaDB」「エンハンスドデータベース」です。
指定した間隔で定期的に実行します。
任意のタイミングで更新実行もできます。
実行結果を履歴として確認できます。(更新実行はイベントログに記載。データベース側の変更履歴はデータベースのイベントログに記載)
利用前提
KMSの利用:必須
シークレット保管庫の利用:必須
シークレット値の事前登録は必須ではない。(更新実行時にシークレットが存在しなければ新規作成される)
サービス利用料金
料金については サービスサイト をご確認ください
サービス仕様
仕様項目 |
値 |
|---|---|
リソースタイプ |
ゾーン毎のリソース |
シークレットローテーション登録数 |
プロジェクト毎の1ゾーンあたり100件 |
ローテーション実行間隔 |
7-365dayで任意に指定可 |
予定の任意実行 |
実行指定後~10分程度で実行 |
※シークレットローテーション登録数については目安となっております。
ご利用方法
コントロールパネルで利用
ローテーション予定の作成
コントロールパネルのシークレットローテーション予定一覧画面の右上「追加」を押下します
必要情報を入力します
必須項目 - シークレット保管庫の指定 - シークレット名 - サービスプリンシパルID - ローテーション間隔 - 対象種別(更新対象DBの選択)
更新の実行
登録日時から指定日数が経過すると、シークレット更新を実行します
シークレット更新実行後、次回実行日は指定日数後となります
更新結果は履歴に表示されます
「シークレットを今すぐ更新」を実行した場合、次回実行日はその実行から指定日数後となります
更新の成功
予定が実行され、対象リソースの更新に成功するとシークレットが更新されます。
シークレットは更新されるとバージョンが1つ上がります。
APIで利用
SecretManagerで提供するAPIの一覧
エンドポイント:/cloud/zone/{zone}/api/cloud/1.1/secretmanager
リクエスト |
実行内容 |
実行に必要なサービスプリンシパル権限 |
|---|---|---|
POST /secret-rotation-schedules |
SecretRotationScheduleを作成します |
「作成・削除」以上の権限 |
GET /secret-rotation-schedules |
SecretRotationScheduleの一覧を取得します |
「リソース閲覧」以上の権限 |
GET /secret-rotation-schedules/{resource_id} |
SecretRotationScheduleを1件取得します |
「リソース閲覧」以上の権限 |
PUT /secret-rotation-schedules/{resource_id} |
SecretRotationScheduleの情報を更新します |
「設定編集」以上の権限 |
DELETE /secret-rotation-schedules/{resource_id} |
SecretRotationScheduleを削除します |
「作成・削除」以上の権限 |
GET /secret-rotation-schedules/{resource_id}/histories |
SecretRotationの履歴一覧を取得します |
「リソース閲覧」以上の権限 |
POST /secret-rotation-schedules/{resource_id}/execute |
SecretRotationを即時実行します |
「設定編集」以上の権限 |
本サービスのご利用に関する注意事項
本サービスではさくらのクラウドAPIを使用し対象のパスワード更新を行います。APIを実行するサービスプリンシパルIDに正しく権限を付与してください
- シークレット保管庫と更新対象リソースの両方にアクセス権限を持つサービスプリンシパルIDを指定してください。
アクセス権限が十分でない場合でもスケジュールは有効ですが更新実行は失敗します。
更新対象の指定に誤りがあっても登録したスケジュールは有効で課金対象となります。(リソースID等指定の誤りや対象リソースを解約された場合でも有効です)
スケジュールは更新対象リソースと同じゾーンに作成してください。(他ゾーンのリソースは選択肢に表示されません)
- 1つの更新対象リソースに対し、複数のスケジュールを登録する事ができます。
対象シークレット名が異なる場合、最終更新されたシークレット名が持つ情報以外は有効でないシークレットとなります。
更新結果を保存するシークレット名が存在しない場合、指定したシークレットを新規作成します。
スケジュールが有効のままシークレットを削除し、指定日に至るとスケジュール実行結果としてシークレットが登録(新規作成)されます。
スケジュール実行時に保管庫の指定したKMSキーが有効でない場合、更新は実行されますがシークレット情報は更新されません。KMSキーが有効に復帰した後にスケジュールを手動実行しシークレットの再更新を行ってください
■サービスプリンシパルIDの権限設定にご注意ください
- 更新対象リソースへの設定編集権限があり、シークレットマネージャの設定編集権限が無い場合、パスワードの更新は実行されますがシークレットの保存更新ができません。
権限を正しく設定した後、スケジュールを任意実行することでシークレットを使用可能な状態に更新してください
■更新対象リソースのご契約状況にご注意ください
スケジュール登録後に更新対象リソースを削除してもスケジュールは自動削除されません。
申し込み〜利用〜解約方法
スケジュールを登録すると利用開始となり、登録したスケジュールは課金対象となります。
スケジュールを削除すると解約となります。