当サイトのクッキーについて IBM のWeb サイトは正常に機能するためにいくつかの Cookie を必要とします(必須)。 このほか、サイト使用状況の分析、ユーザー・エクスペリエンスの向上、広告宣伝のために、お客様の同意を得て、その他の Cookie を使用することがあります。 詳細については、オプションをご確認ください。 IBMのWebサイトにアクセスすることにより、IBMのプライバシー・ステートメントに記載されているように情報を処理することに同意するものとします。 円滑なナビゲーションのため、お客様の Cookie 設定は、 ここに記載されている IBM Web ドメイン間で共有されます。
copyright: years: 2020, 2025 lastupdated: "2025-07-07"
keywords: Secrets Manager の既知の問題、 の既知の制限 Secrets Manager
subcollection: secrets-manager
既知の問題と制約事項
IBM Cloud® Secrets Manager には、ユーザーのエクスペリエンスに影響を与える可能性のある以下の既知の問題と制限が含まれます。
既知の問題
Secrets Manager の使用時に発生する可能性がある以下の既知の問題をレビューします。
| 問題 | 回避策 |
|---|---|
| 同じタイプの複数のシークレットを同じ名前で作成することはできません。 | 同じタイプで同じ名前のシークレットを複数個作成することはできません。 この制限は、インスタンス・レベルで適用されます。 インスタンス内にある複数のシークレット・グループにわたって同じタイプの同じような複数のシークレットを編成するには、それらのシークレットの名前への接頭部または接尾部の追加を試してみてください。 |
| シークレットは、シークレット・グループ間で移動することはできません。 | あるシークレットを間違ったシークレット・グループに誤って割り当てた場合や、あるシークレットがデフォルトのシークレット・グループに属さないようにする場合は、そのシークレットを削除した後、新しいシークレットを作成する必要があります。 |
| IAM シークレットに関連付けられている API キーは、生成された直後には有効ではありません。 | IAM シークレットの API キーを取得するために Secrets Manager API を呼び出すように自動化されている場合は、2 秒の待機遅延を追加して、新しい API キーが IAM に認識されるようにします。 |
| 存続時間 (TTL) 付きの IAM 資格情報は、即時には期限切れになりません。 | TTL を設定したシークレットがリース期間の終わりに達してから、そのシークレットに関連付けられたサービス ID が IAM で削除されるまでに、1 分から 2 分の許容誤差があることを見込んでおいてください。 |
| シークレットグループをスコープとする Writer または Manager サービスのアクセス権を持っているユーザーが、 Secrets Manager UIを使用すると、一部のタイプのシークレットを作成できないという問題がありました。 | Viewer プラットフォーム アクセスと、 Secrets Manager サービス シークレット グループにスコープされた Writer または Manager サービス アクセスがある場合、 Secrets Manager ダッシュボードでエンジン構成が必要なシークレット(IAM 認証情報、パブリック証明書、プライベート証明書など)を作成できないことがあります。 回避策として、 Secrets Manager CLIプラグイン、API、またはSDKを使用して、これらのシークレットタイプを管理することができます。 |
| Vault 用のコミュニティー・プラグインはサポートされません。 | Secrets Manager がサポートするシークレット・エンジンに対して作成されていない限り、Secrets Manager との Vault のコミュニティー・プラグインは統合できません。 |
| サービスのインスタンスを削除しても、API キーは IAM から削除されません。 | IAM 資格情報シークレット・エンジンによって生成されたサービス ID または API キーがあり、 Secrets Managerのインスタンスを削除する場合は、そのシークレットも IAM から削除する必要があります。 |
| Vault API を使用する場合、IAM Custom Roles はサポートされません。 | IAMカスタムロールの使用は、Secrets ManagerサービスAPIを使用する場合に完全にサポートされます。 |
制限
Secrets Managerを使用する場合は、以下のサービス制限を考慮してください。
アカウントの制限
IBM Cloud アカウントごとに以下の制限が適用されます。
| リソース | 制限 |
|---|---|
| Secrets Manager サービス・インスタンス | トライアルプラン: IBM Cloud スタンダードプラン:アカウントあたりのインスタンス数に制限はありません |
インスタンスの制限
以下の制限が Secrets Manager サービス・インスタンスに適用されます。
| リソース | 制限 |
|---|---|
| シークレット・エンジンの構成 |
パブリック証明書エンジン:
プライベート証明書エンジン:
カスタム証明書エンジン:
|
| シークレット・グループ | インスタンスごとに 200 |
| シークレットの合計数 | インスタンスごとに制限なし |
リソースの限度
さまざまなタイプのシークレットに適用される制限事項について理解するために、次の表を確認してください。
シークレット・グループの制限
次の制限がシークレット・グループに適用されます。
| 属性 | 制限 |
|---|---|
| 名前 | 2 から 64 文字 |
| 説明 | 2 から 1024 文字 |
| ラベル | 2 - 64 文字
各秘密グループにつき 30 ラベル |
| シークレットの合計数 | – |
任意のシークレットの制限
次の制限が任意のシークレットに適用されます。
| 属性 | 制限 |
|---|---|
| 名前 | 2 から 256 文字
シークレットの名前には、英数字、ダッシュ、およびドットのみを使用できます。 先頭と末尾は、英数字でなければなりません。 |
| 説明 | 2 から 1024 文字 |
| シークレット値/ペイロード | 1MB |
| ラベル | 2 - 64 文字
1シークレットあたり 30 ラベル |
| バージョン | このサービスでは監査目的で各シークレットに最大 50 バージョンのメタデータが保存されますが、シークレットのバージョン・ヒストリーの一部としてレビューできます。 |
| ロック | 1000 |
| カスタム・メタデータ | 10 kB |
| バージョン・カスタム・メタデータ | 10 kB |
IAM 資格情報の制限
次の制限が IAM 資格情報に適用されます。
| 属性 | 制限 |
|---|---|
| 名前 | 2 から 256 文字
シークレットの名前には、英数字、ダッシュ、およびドットのみを使用できます。 先頭と末尾は、英数字でなければなりません。 |
| 説明 | 2 から 1024 文字 |
| アクセス・グループ | 1 から 10 グループ |
| ラベル | 2 - 64 文字
1シークレットあたり 30 ラベル |
| 存続時間(TTL)/リース期間 | 最小継続時間は1分です。 最大は90日です。 |
| バージョン | 秘密ごとに2つのバージョン(現在のバージョンと以前のバージョン)
秘密のバージョンは、定義されたTTL(time-to-live)またはリース期間に達していない場合にのみ、取得、ローテート、または復元できる。 このサービスでは監査目的で各シークレットに最大 50 バージョンのメタデータが保存されますが、シークレットの バージョン・ヒストリーの一部としてレビューできます。 |
| ロック | 1000 |
| カスタム・メタデータ | 10 kB |
| バージョン・カスタム・メタデータ | 10 kB |
キー・バリューシークレットの制限
キー・バリューシークレットには、以下の制限が適用されます。
| 属性 | 制限 |
|---|---|
| 名前 | 2 から 256 文字
シークレットの名前には、英数字、ダッシュ、およびドットのみを使用できます。 先頭と末尾は、英数字でなければなりません。 |
| 説明 | 2 から 1024 文字 |
| シークレット値/ペイロード | 512KB |
| ラベル | 2 - 64 文字
1シークレットあたり 30 ラベル |
| ロック | 1000 |
| カスタム・メタデータ | 10 kB |
| バージョン・カスタム・メタデータ | 10 kB |
SSL/TLS 証明書の制限
インポートされた証明書、プライベート証明書、またはパブリック証明書には、以下の制限が適用されます。
| 属性 | 制限 |
|---|---|
| 名前 | 2 から 256 文字
シークレットの名前には、英数字、ダッシュ、およびドットのみを使用できます。 先頭と末尾は、英数字でなければなりません。 |
| 説明 | 2 から 1024 文字 |
| 証明書 | 100 KB
サポートされるファイル・タイプは |
| 秘密鍵 | 100 KB
秘密鍵ファイルは、PEM 形式のコンテンツに制限されます。 指定する場合、秘密鍵はインポートする証明書と一致する必要があります。 暗号化されていない秘密鍵のみがサポートされます。 |
| 中間証明書 | 100 KB
サポートされるファイル・タイプは |
| ラベル | 2 - 364characters
1シークレットにつきラベル30枚 |
| バージョン | 証明書ごとに 2 バージョン (現行および以前)
サービスは、監査の目的でシークレットごとに最大 50 バージョンのメタデータを保持します。これは、シークレットのバージョン履歴の一部として確認できます。 |
| ロック | 1000 |
| カスタム・メタデータ | 10 kB |
| バージョン・カスタム・メタデータ | 10 kB |
ユーザー資格情報の制限
次の制限がユーザー資格情報に適用されます。
| 属性 | 制限 |
|---|---|
| 名前 | 2 から 256 文字
シークレットの名前には、英数字、ダッシュ、およびドットのみを使用できます。 先頭と末尾は、英数字でなければなりません。 |
| 説明 | 2 から 1024 文字 |
| ユーザー名 | 2 から 64 文字 |
| パスワード | 6 から 256 文字 |
| ラベル | 2 - 64 文字
1シークレットあたり 30 ラベル |
| バージョン | このサービスでは監査目的で各シークレットに最大 50 バージョンのメタデータが保存されますが、シークレットのバージョン・ヒストリーの一部としてレビューできます。 |
| ロック | 1000 |
| カスタム・メタデータ | 10 kB |
| バージョン・カスタム・メタデータ | 10 kB |
サービス資格情報の制限
サービス資格情報には以下の制限が適用される。
| 属性 | 制限 |
|---|---|
| 名前 | 2 から 256 文字
シークレットの名前には、英数字、ダッシュ、およびドットのみを使用できます。 先頭と末尾は、英数字でなければなりません。 |
| 説明 | 2 から 1024 文字 |
| ラベル | 2 - 64 文字
1シークレットあたり 30 ラベル |
| バージョン | このサービスでは監査目的で各シークレットに最大 50 バージョンのメタデータが保存されますが、シークレットのバージョン・ヒストリーの一部としてレビューできます。 |
| ロック | 1000 |
| カスタム・メタデータ | 10 kB |
| バージョン・カスタム・メタデータ | 10 kB |
カスタム認証情報の制限
カスタム資格情報には以下の制限が適用される。
| 属性 | 制限 |
|---|---|
| 名前 | 2 から 256 文字
シークレットの名前には、英数字、ダッシュ、およびドットのみを使用できます。 先頭と末尾は、英数字でなければなりません。 |
| 説明 | 2 から 1024 文字 |
| ラベル | 2 - 64 文字
1シークレットあたり 30 ラベル |
| バージョン | このサービスでは監査目的で各シークレットに最大 50 バージョンのメタデータが保存されますが、シークレットのバージョン・ヒストリーの一部としてレビューできます。 |
| ロック | 1000 |
| カスタム・メタデータ | 10 kB |
| バージョン・カスタム・メタデータ | 10 kB |
| 問題 | 回避策 |
|---|---|
| カスタム資格情報コンフィギュレーションと資格情報プロバイダ Code Engine ジョブとのグローバルな一対一のマッピングがある。 | クレデンシャル・プロバイダーの仕事を複製する。 |
| カスタム資格情報設定を更新して、別の資格情報プロバイダ Code Engine ジョブを参照することはできません。 | 新しいカスタム資格情報構成を作成する。 |
| カスタム資格情報構成を更新して、参照される IAM 資格情報シークレットを変更または削除できない。 | 新しいカスタム資格情報構成を作成する。 |
| カスタム認証情報コンフィギュレーションスキーマ(パラメータと認証情報)は、 Secrets Manager コンフィギュレーション作成時に認証情報プロバイダ Code Engine ジョブ環境変数にマップされる。 | クレデンシャル・プロバイダの環境変数の更新に対応するために、新しいカスタムクレデンシャル設定を作成する。 |
| Secrets Manager Code Engine レート制限を回避するために、完了したジョブの実行を直ちに削除するように ジョブを設定します。 Code Engine | ジョブ変数CE_REMOVE_COMPLETED_JOBSの値を Code Engine UIで ‘3d’ などの値に変更すると、開発時間中に完了したジョブの実行とそのログを確認できます。 |
| Secrets Manager インスタンスは、最大10個のカスタム認証情報構成で構成できる。 | 新しい Secrets Manager インスタンスを作成する。 |
| カスタム資格情報の秘密は100のタスクの履歴を保持する。 | IBM Cloud Logs の IBM Cloud Activity Tracker Event Routing を参照し、タスクの履歴を確認する。 |
| Secrets Manager は、失敗した '資格情報の削除' タスクに対して最大 10 日間毎日再試行を適用します。 | Event Notifications、失敗したタスクイベントをログで監視し、外部資格情報プロバイダに古くなった資格情報や期限切れの資格情報がないか定期的にチェックする。 |
| Secrets Manager のシークレット・タスクは、 Code Engine に過負荷がかからないようにスロットルされている。 大きなキューを扱っている場合、カスタム認証情報のシークレットステートを変更する操作中に遅さが発生することがある。 | カスタム認証情報を使用するワークロードは、シークレットがローテートされるまで遅延する可能性があることを想定して設計してください。 |
| シークレット・ロック・モード remove_previous_and_delete はサポートされていません。 | ロックモードremove_previousを使用し、秘密バージョンid=previousを指定して秘密バージョンデータ削除apiを呼び出す。 |
| 個人識別情報(電子メールアドレス、社会保障番号など)や機密データを入力パラメータやクレデンシャルIDとして使用することは避けてください。 Secrets Manager、入力パラメータとクレデンシャルIDは機密の秘密データではなく、メタデータとして扱われます。 | 秘匿データを含む Secrets Manager で管理される秘密への参照を渡すには、secret_id パラメータ型を使用する。 その後、クレデンシャル・プロバイダのジョブで、機密データにアクセスするための秘密を取得する。 |
| 秘密のttlとパラメータフィールドに加えられた更新は、秘密の新しいバージョンに適用される。 | シークレットを回転させて新しいバージョンを作成し、変更を適用する。 |
| Secrets Manager インスタンスを削除しても、管理対象のサードパーティ認証情報は一括削除されません。 | Secrets Manager インスタンスを完全に削除する場合は、まずそのシークレットをすべて削除する。 |