è³ªåï¼ AWS Secrets Manager ã¨ã¯ä½ã§ãã?

è³ªåï¼ Secrets Manager ãçµ±åããã¨ãMWAA ã®ã»ãã¥ãªãã£ãã©ã®ããã«å¼·åããã¾ãã?

è³ªåï¼ Secrets Manager ã¯è³æ ¼æå ±ã®èªåãã¼ãã¼ã·ã§ã³ãå¦çã§ãã¾ãã?

çãï¼ ããããSecrets Manager ãä½¿ç¨ããã¨ãå®è¡æã«èªè¨¼æå ±ãåçã«åå¾ã§ãããããã¯ã¼ã¯ããã¼ ã¹ã¯ãªãããå¤æ´ããã«èªè¨¼æå ±ãç®¡çã§ãã¾ãã

è³ªåï¼ ã·ã¼ã¯ã¬ããã®ä½¿ç¨ãç£æ»ããã«ã¯ã©ãããã°ããã§ãã?

シークレットを使用した MWAA

Gabriel Martim

2024年4月17日水曜日 10:31:46

MWAA での安全な電子メールの設定

Amazon Managed Workflow for Apache Airflow (MWAA) の管理には、多くの場合、SMTP 設定経由で設定できる自動電子メールの送信が含まれます。通常、SMTP 設定は構成ファイルに直接配置されるか、環境の設定ページを通じて調整されます。ただし、セキュリティと管理性を強化するには、これらの機密情報を AWS Secret Manager に保存することをお勧めします。

Secret Manager を使用すると、接続の詳細が不正アクセスから保護されるだけでなく、機密情報をハードコーディングすることなく、さまざまな環境にわたる構成プロセスが合理化されます。この設定により、電子メールワークフローの安全性と効率性の両方が確保され、ユーザーは MWAA インスタンス内で資格情報を動的かつ安全に管理できるようになります。

電子メール通知のために AWS Secrets Manager を MWAA と統合する

Boto3 と Airflow を使用した Python スクリプト

import boto3
from airflow.models import Variable
from airflow.utils.email import send_email_smtp
from airflow import DAG
from airflow.operators.python_operator import PythonOperator
from datetime import datetime
def get_secret(secret_name):
    client = boto3.client('secretsmanager')
    response = client.get_secret_value(SecretId=secret_name)
    return response['SecretString']
def send_email():
    email_config = json.loads(get_secret('my_smtp_secret'))
    send_email_smtp('example@example.com', 'Test Email', 'This is a test email from MWAA.', smtp_mail_from=email_config['username'])
default_args = {'owner': 'airflow', 'start_date': datetime(2021, 1, 1)}
dag = DAG('send_email_using_secret', default_args=default_args, schedule_interval='@daily')
send_email_task = PythonOperator(task_id='send_email_task', python_callable=send_email, dag=dag)

AWS CLI を使用した MWAA での環境変数の設定

AWS CLI 操作用の Bash スクリプト

#!/bin/bash
AWS_SECRET_NAME="my_smtp_secret"
AWS_REGION="us-east-1"
# Retrieve SMTP configuration from AWS Secrets Manager
SMTP_SECRET=$(aws secretsmanager get-secret-value --secret-id $AWS_SECRET_NAME --region $AWS_REGION --query SecretString --output text)
# Parse and export SMTP settings as environment variables
export SMTP_HOST=$(echo $SMTP_SECRET | jq -r .host)
export SMTP_PORT=$(echo $SMTP_SECRET | jq -r .port)
export SMTP_USER=$(echo $SMTP_SECRET | jq -r .username)
export SMTP_PASSWORD=$(echo $SMTP_SECRET | jq -r .password)
# Example usage in a script that sends an email
python3 send_email.py

AWS Secrets Manager による MWAA セキュリティの強化

Amazon Managed Workflows for Apache Airflow (MWAA) でワークフローの自動化を扱う場合、電子メール通知の SMTP 認証情報などの機密データのセキュリティが最も重要です。 AWS Secrets Manager は、これらの認証情報の安全な保管と管理を可能にする堅牢なソリューションを提供します。 Secrets Manager と MWAA を統合すると、ワークフロースクリプトから機密情報を隠すことができるだけでなく、データ保護規制への準拠にも役立ちます。この方法により、ワークフロースクリプトを変更せずに認証情報をローテーションおよび管理できるようになり、セキュリティ侵害のリスクが軽減されます。

さらに、Secrets Manager を使用すると、開発者はきめ細かいアクセス制御と監査機能を実装できます。シークレットへのアクセスは IAM ロールとポリシーに基づいて制限でき、シークレットの使用状況は AWS CloudTrail で追跡できます。この統合により、複雑な環境での認証情報の管理が簡素化されるだけでなく、認証情報にいつ、誰がアクセスしたかについての明確な監査証跡が提供されるため、企業全体のセキュリティ体制が強化されます。

MWAA での AWS Secrets Manager の使用に関する重要な FAQ

質問： AWS Secrets Manager とは何ですか?
答え： AWS Secrets Manager は、独自のインフラストラクチャを運用するための先行投資や継続的なメンテナンスコストを必要とせずに、アプリケーション、サービス、IT リソースへのアクセスを保護するのに役立つサービスです。
質問： Secrets Manager を統合すると、MWAA のセキュリティがどのように強化されますか?
答え： 保存時の情報を暗号化することで SMTP 認証情報などの機密データを保護し、IAM ポリシーによるアクセス制御を可能にして、データ保護とコンプライアンスを強化します。
質問： Secrets Manager は資格情報の自動ローテーションを処理できますか?
答え： はい。AWS Secrets Manager は認証情報の自動ローテーションをサポートしています。これは、人間の介入なしにアクセスキーを定期的に変更することでセキュリティの維持に役立ちます。
質問： 資格情報が変更された場合、ワークフロースクリプトを変更する必要がありますか?
答え： いいえ、Secrets Manager を使用すると、実行時に認証情報を動的に取得できるため、ワークフロースクリプトを変更せずに認証情報を管理できます。
質問： シークレットの使用を監査するにはどうすればよいですか?
答え： AWS CloudTrail を使用すると、Secrets Manager シークレットへのすべてのアクセスを記録および監視できるため、シークレットの使用状況の詳細な監査証跡が可能になります。

ワークフロー通信の保護

結論として、SMTP 設定を処理するために AWS Secrets Manager を Amazon MWAA と統合すると、ワークフローでの電子メール通信に必要な機密情報を管理するための安全かつ効率的な方法が提供されます。このソリューションは、不正アクセスからデータを保護するだけでなく、管理タスクを簡素化し、セキュリティポリシーへの準拠を強化します。機密情報のストレージを一元化することで、組織はセキュリティ体制を改善し、ハードコードされた資格情報に関連する運用リスクを軽減できます。

シークレットを使用した MWAA での電子メール設定