Amazon Cognito enhances client secret management with secret rotation and custom secrets

カテゴリ: What's New 公開日: 2026-02-26T17:00:00 元記事: https://aws.amazon.com/about-aws/whats-new/2026/02/amazon-cognito-client-secret-lifecycle/

要約

Amazon Cognito は、クライアントシークレットのオンデマンドローテーション機能とカスタムクライアントシークレットのサポートを追加し、アプリクライアントごとに最大 2 つのアクティブなシークレットを維持することで、ダウンタイムなしでの段階的な移行を実現しました。この機能は、定期的な認証情報ローテーション要件を持つ組織や他の認証システムから移行するエンタープライズに特に有用です。

詳細

• Amazon Cognito は、ユーザープール用のアプリクライアントに対して、クライアントシークレットのローテーション機能とカスタムクライアントシークレットのサポートを追加しました。

• これまで、Cognito はすべてのアプリクライアントシークレットを自動生成していましたが、今回のアップデートにより、自動生成されたシークレットに加えて、カスタムクライアントシークレットを持ち込むオプションが提供されるようになりました。

• アプリクライアントごとに最大 2 つのアクティブなクライアントシークレットを維持できるため、アプリケーションのダウンタイムなしに新しいシークレットへの段階的な移行が可能です。

• この新しいクライアントシークレットライフサイクル管理機能は、定期的な認証情報ローテーション要件を持つ組織、セキュリティ体制を改善している企業、および他の認証システムから Cognito に移行しているエンタープライズに適しています。

• クライアントシークレットローテーションとカスタムクライアントシークレットは、Amazon Cognito ユーザープールが利用可能なすべての AWS リージョンで利用可能です。

• AWS Management Console、AWS Command Line Interface（CLI）、AWS Software Development Kits（SDKs）、または AWS CloudFormation を通じて、新しい機能を利用開始できます。

主な機能

1. クライアントシークレット ローテーション

• ユーザープール用のアプリクライアントに対してオンデマンドローテーション機能を提供
• セキュリティポリシーに基づいた定期的なシークレット更新に対応

2. カスタムクライアントシークレット サポート

• 自動生成されたシークレットに加えてカスタムシークレットを指定可能
• 既存システムから移行する際に既存のシークレット戦略を維持

3. デュアルシークレット管理

• アプリクライアントごとに最大 2 つのアクティブなシークレットを同時管理
• 古いシークレットから新しいシークレットへの無停止切り替え

ユースケース

定期的なローテーション要件がある組織

• 金融機関や医療機関などの規制対象組織
• 厳格なセキュリティポリシーを持つエンタープライズシステム
• 監査対応で認証情報の定期更新が必須

他のシステムからの移行

• 既存認証システムで利用していたシークレットの引き継ぎ
• 段階的なマイグレーション期間の確保
• 移行中のインシデントリスク低減

セキュリティ体制の改善

• 認証情報管理の一元化と監視体制の強化
• 企業のコンプライアンス要件への準拠
• セキュリティ侵害時の影響範囲の最小化

メリット

セキュリティ

• 定期的なローテーション実施でシークレット漏洩時の影響を制限
• 複数シークレット管理により古いシークレット利用中のリスク最小化
• すべての操作をログ記録して監査対応

運用

• ダウンタイムなしの段階的なシークレット移行
• 独自のローテーション戦略をカスタマイズ可能
• AWS Management Console から一元管理

ビジネス

• ダウンタイム回避によるビジネス継続性の確保
• 規制要件への対応を効率化
• セキュリティ侵害時の対応時間短縮

利用開始方法

• AWS Management Console
• AWS CLI
• AWS SDKs
• AWS CloudFormation

利用可能リージョン

Amazon Cognito ユーザープールが利用可能なすべての AWS リージョン