VPC環境で利用できます。
Secret Managerを円滑に利用するために、サービスに関連する様々な基本概念を説明します。
認証情報とセキュリティパスワード
認証情報(Credential)とは、一般的に身元を確認したり、あらかじめ定義された資格や権限を付与した文書などを意味します。この例としては、身分証明書や学位記、または資格などがあります。コンピュータシステムでは、リクエストされた機能を実行したり、サービスを提供するためにアクセス制御を行う際に参照されるデータを指し、ユーザーログイン時に提出する IDとパスワードおよびセキュリティパスワードがこれに該当します。Secret Managerは、コンピュータシステムで利用される認証情報が管理対象であり、セキュリティパスワードという用語と同じ概念で扱います。
シークレット(Secret)
Secret Managerで管理するデータは、 シークレット というリソースとして定義されます。シークレットは、実際のシークレットデータ(シークレット値)だけでなく、その基盤となるメタ情報、連携する他のサービス/システム情報などをすべて含みます。Secret Managerはシークレット単位で権限を制御、管理、保護し、使用量を測定します。シークレットはユーザーが直接定義するデータですが、基本的にサービスでは個人情報を直接含むことはありません。シークレット値は、削除またはサービス利用解約時に直ちに破棄され、復旧されません。シークレット値を除いた付帯情報は3か月間維持後に破棄されます。
シークレットライフサイクル(Secret lifecycle)
シークレットは作成後、使用され、最終的に削除されるまでの一連のライフサイクルを持ちます。ライフサイクルに応じて利用可能、一時停止、ローテーション進行中、削除予定、最終削除のステータスに区分されます。一時停止と削除予定のステータスではシークレットの照会はできませんが、自動ローテーションなどの管理的な機能は最終削除前まですべて処理されます。削除リクエスト後は、7日間の待機ステータスを経て最終削除されます。最終削除されるまで、シークレットに対する課金は維持されます。
シークレットチェーン
Secret Managerは、シークレットを使用しながらローテーションされるシークレット値をローテーション履歴に応じてステージ(Stage) という内部ステータスで管理します。ローテーションされるシークレット値は、ローテーションステージが進むにつれて時間順に維持され、これをシークレットチェーンと定義します。
シークレット保護
Secret Managerはすべてのシークレットを暗号化して保護します。NAVERクラウドプラットフォームのユーザーは基本的に Key Management Serviceで自動的に作成され管理される顧客デフォルトキーを持っており、Secret Managerのすべてのシークレットは基本的に顧客デフォルトキーで保護されます。もし、保護キーのオプションを変更して細かく管理したり、履歴を直接確認したい場合には、ユーザー管理キーを指定できます。ユーザー管理キーは、Key Management Serviceで顧客が直接作成して管理します。詳細は、Key Management Serviceご利用ガイドをご参照ください。
Secret Managerは、保護キーに基づいてシークレット値をエンベロープ暗号化(Envelope Encryption)方式で保護します(つまり、すべてのシークレット値はすべて別のキーで暗号化されます)。