SOA-C03#2(security)
運用エンジニアは EC2 上のアプリで利用する RDS パスワードを 30 日ごとに自動ローテーションし、アプリには再起動なしで反映したい要件です。最適な方法はどれですか。
正解:A
正解の根拠
Secrets Manager は RDS と統合し、自動ローテーション Lambda を提供します。アプリは GetSecretValue で常に最新値を取得でき、ローテーション中も旧パスワードを並行有効化するため、再起動不要で切替できます。
シークレット管理の比較
| 機能 | Secrets Manager | Parameter Store |
|---|---|---|
| 自動ローテーション | 標準提供 | 自前実装 |
| RDS 統合 | あり | なし |
不正解の理由
- B: IAM 認証は有効ですが既存アプリの大幅改修が必要となる副作用があり、Secrets Manager + RDS 統合による無改修運用と比べ導入工数が過大です。
- C: Parameter Store はローテーション機能を内蔵せず、自前 Lambda 実装が必要となる副作用があり代替には適しません。
- D: 手動更新は再起動なし反映の要件を満たさず、運用担当者の人的ミスや遅延が発生する副作用があり、自動ローテーション要件に反します。
コメント