yatta47 https://blog.hatena.ne.jp/yatta47/ /var/www/yatta47.log https://yatta47.hateblo.jp/ aws Lambda にシークレットを渡すとき、環境変数にそのまま入れるか、ランタイムで Secrets Manager から取るか、悩んだんですけど——正直「KMS で暗号化されるんだし環境変数でいいのでは？」と思っていました。 調べてみると、これがけっこう違う問題でした。 「保存時の暗号化」と「取り扱い中の露出」は別の話 Lambda 環境変数は静止時に KMS で暗号化されます。そこは本当です。ただしデフォルト（AWS managed key）の場合、lambda:GetFunctionConfiguration 権限を持つ人やツールからは平文で読めます。CMK（Customer Managed… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fyatta47.hateblo.jp%2Fentry%2F2026%2F04%2F24%2F090000" title="Lambda 環境変数にシークレットを入れるか Secrets Manager SDK で取るかの判断基準 - /var/www/yatta47.log" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2026-04-24 09:00:00 rich https://yatta47.hateblo.jp/entry/2026/04/24/090000 1.0 100%