スキル aws-secrets-rotation
🔐

aws-secrets-rotation

安全

RDS と API キーの AWS シークレットローテーションを自動化

手動でのシークレットローテーションはヒューマンエラーを招きやすく、見過ごされがちです。このスキルは、データベースとサードパーティサービスの認証情報のローテーションを自動化するための、プロダクション対応の Lambda 関数と AWS CLI コマンドを提供します。

対応: Claude Codex Code(CC)
📊 70 十分
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

テストする

「aws-secrets-rotation」を使用しています。 本番 RDS 認証情報のローテーションを設定

期待される結果:

prod/db/mysql のローテーションが 30 日スケジュールで有効化されました。Lambda 関数 arn:aws:lambda:us-east-1:123456789012:function:SecretsManagerRDSMySQLRotation が認証情報を自動的にローテーションします。最初のローテーションを開始しました。

「aws-secrets-rotation」を使用しています。 ローテーションコンプライアンスのためにすべてのシークレットを監査

期待される結果:

準拠シークレット:12
非準拠シークレット:3

非準拠の詳細:
- dev/test/api-key: ローテーションが有効になっていない
- staging/db/postgres: 127 日間ローテーションされていない
- legacy/service-token: 一度もローテーションされていない

セキュリティ監査

安全
v1 • 2/24/2026

All 70 static findings are false positives. The skill contains legitimate AWS CLI documentation, Lambda rotation code examples, and compliance tracking scripts. External command patterns are bash examples in markdown code blocks demonstrating AWS API usage. Network references are official AWS and Stripe API endpoints. No malicious patterns detected.

1
スキャンされたファイル
466
解析された行数
0
検出結果
1
総監査数
セキュリティ問題は見つかりませんでした
監査者: claude

品質スコア

38
アーキテクチャ
100
保守性
87
コンテンツ
31
コミュニティ
100
セキュリティ
83
仕様準拠

作れるもの

データベース認証情報ローテーションを自動化する DevOps エンジニア

AWS 管理 Lambda テンプレートを使用して、プロダクション RDS MySQL 認証情報の 30 日自動ローテーションを、ローテーション失敗時の CloudWatch 監視付きで設定します。

コンプライアンス要件を実装するセキュリティチーム

すべてのシークレットに対してローテーションポリシーをデプロイし、ローテーションステータスを示す四半期レポートを生成し、期限超過のローテーションに対するアラートを設定します。

サードパーティ API キーをローテーションする開発者

Stripe API を呼び出して新しいキーを生成し、検証し、古い認証情報を自動的に無効化する、Stripe API キーをローテーションするためのカスタム Lambda 関数を作成します。

これらのプロンプトを試す

基本シークレット作成 
ユーザー名 admin、ホスト mydb.cluster-abc.us-east-1.rds.amazonaws.com、ポート 3306、データベース myapp を持つ本番 MySQL データベースの AWS シークレットを作成してください
RDS 自動ローテーションの有効化 
AWS 管理 Lambda ローテーション関数を使用して、RDS MySQL シークレットの 30 日ごとの自動ローテーションを設定してください
カスタム API キーローテーション 
Stripe API を呼び出して新しいキーを生成し、テストし、古いキーを無効化する、Stripe API キーをローテーションする Lambda 関数を作成してください
コンプライアンス監査レポート 
ローテーションが有効になっていないすべてのシークレットと、90 日以上ローテーションされていないシークレットをリストするコンプライアンスレポートを生成してください

ベストプラクティス

  • プロダクションにデプロイする前に、非プロダクション環境でローテーションをテストする
  • 5 分以内にローテーション失敗を検知する CloudWatch アラームを設定する
  • 侵害された認証情報のための緊急ローテーション手順を文書化したランブックを維持する

回避

  • Secrets Manager から取得する代わりに、アプリケーションコードにシークレットをハードコードする
  • 機密性の高い認証情報のローテーション間隔を 90 日超に設定する
  • アプリケーションの互換性を事前にテストせずにシークレットをローテーションする

よくある質問

このスキルを使用するには、どのような AWS 権限が必要ですか?
secretsmanager:CreateSecret、secretsmanager:GetSecretValue、secretsmanager:RotateSecret、secretsmanager:UpdateSecretVersionStage、lambda:InvokeFunction、および cloudwatch:PutMetricAlarm 権限が必要です。
AWS 以外のデータベースのシークレットもローテーションできますか?
はい、API を介したプログラムによる認証情報ローテーションをサポートするデータベースやサービスであれば、カスタム Lambda 関数を作成できます。
ローテーションが失敗するとどうなりますか?
シークレットは以前の認証情報のままで変更されません。CloudWatch アラームで障害を通知できます。保留中のバージョンはカレントに昇格されません。
侵害発生後にシークレットをすぐにローテーションするにはどうすればよいですか?
rotate-secret コマンドに --rotate-immediately フラグを付けて実行し、スケジュールされた間隔に関係なく強制的にローテーションを実行します。
ローテーション中に、アプリケーションは新旧両方の認証情報にアクセスできますか?
はい、AWS Secrets Manager は複数のバージョニングステージ(AWSPENDING、AWSCURRENT、AWSPREVIOUS)をサポートしており、段階的な認証情報の移行を可能にします。
自動ローテーションの使用に料金は発生しますか?
はい、Lambda 呼び出し(シークレットあたり月に 1 回程度)と Secrets Manager API 呼び出しの料金が発生します。ローテーション Lambda の実行コストは、シークレットあたり月間約 0.20〜0.50 ドルです。

開発者の詳細

作成者

sickn33

ライセンス

MIT

リポジトリ

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/security/aws-secrets-rotation

参照

main

ファイル構成

📄 SKILL.md