Vaulted vs AWS Secrets Manager
異なるワークフローのために作られている。AWS Secrets ManagerはAWSインフラ内のプログラム的なシークレット向けのマネージドサービスだ。Vaultedはゼロ知識による即時の人から人へのシークレット共有ツールで、無料で匿名であり、AWSアカウントも不要だ。
| 機能 | Vaulted | AWS Secrets Manager |
|---|---|---|
| クライアントサイド暗号化 | ||
| ゼロ知識アーキテクチャ | ||
| 暗号化アルゴリズム | AES-256-GCM | AES-256(AWS KMS) |
| 鍵がサーバーに送信されない | ||
| 自己消滅リンク | ||
| 閲覧回数の設定 | 無制限または1〜10回 | |
| パスフレーズ保護 | ||
| アカウント不要 | ||
| シークレットの自動ローテーション | ||
| AWSサービス統合 | RDS, Redshift, DocumentDB | |
| IAMアクセス制御 | ||
| 無料で利用可能 | $0.40/シークレット/月 + APIコール | |
| オープンソース |
主な違い
AWS Secrets ManagerはAWSエコシステムに深く統合されている。アプリケーションがAWS SDKを通じてプログラム的に取得するシークレットを保存し、RDS・Redshift・DocumentDBの認証情報の自動ローテーションをサポートし、IAMポリシーによる細粒度のアクセス制御を使用する。マシンとマシンの通信のために作られている。
Vaultedは人と人の共有のために作られている。シークレットを貼り付け、有効期限と閲覧回数を設定し、誰にでも送れる自己消滅リンクを取得する。すべてはAES-256-GCMでクライアントサイドで暗号化される。AWSアカウント、IAMロール、SDK統合は不要だ。
コストモデルも根本的に異なる。AWS Secrets Managerはシークレット1つ当たり月額0.40ドル、さらに1万APIコールごとに0.05ドルが発生する。Vaultedは完全に無料だ。パスワードやAPIキーを誰かに安全に送りたいだけなら、AWSサービスをセットアップする理由はない。
Vaultedを選ぶなら
- アプリケーションではなく人とシークレットを共有したいとき
- サーバーを信頼せずにゼロ知識のクライアントサイド暗号化が欲しいとき
- シークレットごとの料金を払いたくないか、AWSアカウントを管理したくないとき
- 設定可能な閲覧回数付きの自己消滅リンクが必要なとき
AWS Secrets Managerを選ぶなら
- アプリケーションが実行時にシークレットをプログラム的に取得する必要があるとき
- AWSデータベース認証情報の自動ローテーションが必要なとき
- IAMベースのアクセス制御とCloudTrailの監査ログが必要なとき
- 既にAWSエコシステムを使用しており、ネイティブ統合が必要なとき