![[アップデート] AWS Secrets ManagerでサードパーティSaaSシークレットの管理や自動ローテーションができる、マネージド外部シークレットが発表されました!](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-9e5f20a2043f90ff381c154268f3bdd5/49f6ce675de75d82f2fa3e07b74ef055/aws-secrets-manager?w=3840&fm=webp)
[アップデート] AWS Secrets ManagerでサードパーティSaaSシークレットの管理や自動ローテーションができる、マネージド外部シークレットが発表されました!
こんにちは、まるとです。
現地時間2025年11月19日にAWS Secrets Managerで対応するサードパーティSaaSのシークレットを管理できるマネージド外部シークレットが発表されました。
従来もSecrets ManagerでAPIキーなどを登録することができましたが、今回のアップデートによりLambdaなどを使用せず、シークレットの自動ローテーションもできるようになりました。
これにより、AWS側でマネージド外部シークレットとして、認証情報を登録していれば、認証情報のローテーションを自動化しつつ、AWSでシークレットの管理ができるようになります。
対応SaaS
本ブログ執筆時点で対応するSaaSは以下の3つでした。
- Salesforce External Client App Credential
- BigID Refresh Token
- Snowflake Key-Pair Authentication
やってみる
今回はSnowflakeを利用して検証を行なっていきます。
まず、事前にキーペアの作成、Snowflakeユーザ側に鍵の登録を行なっておきます。
詳しくは以下のブログを参照ください。
それでは実際にシークレットを登録して、ローションを実行までやってみます。
Secrets Managerでシークレットの作成時、新しく「マネージド外部シークレット」が追加されています。
ここから、対応するSaaSを選択していきます。
続いて、ユーザ情報を入力していきます。
Accountは組織名-アカウントの形式であるAccount identifier`を入力していきます。
ユーザはキーペアの設定が行えるロールSECURITYADMIN相当を持つ権限が必要となります。
あとは通常通り、シークレットの名前を設定します。
最後にローテーションの設定を行います。
これで準備は完了です。
ローテーションしてみる
自動ローテーションが実行される前にSecrets Managerですぐにローテーションができるので、実際にやってみます。
ローテーション前の秘密鍵は最後の4文字がTyz4となっていました。
ではローテーションを実行していきます。
Secrets Managerのシークレット内、ローテーションタブにある「すぐにシークレットをローテーションさせる」を押します。
Snowflakeのクエリログを確認したところ、鍵の再設定が行われていました。
シークレットの秘密鍵も変わっていますね。(下4文字がpW0=になっている)
では実際にログインできるか試してみます。
シークレットの値に記載の秘密鍵を利用してSnowSQLからログインすると...できた!
終わりに
まだ対応サービスは限られていますが、Lambdaなしでマネージドにローテーションが行えるため、より簡単にかつ安全に認証情報の管理ができることが改めてわかりました。
もし対応サービスをご利用の方がいらっしゃり、認証情報のローテーションを手動でやっている場合はぜひご検討ください。
以上、まるとでした!
