最近のDeveloper Week 2025において、CloudflareはCloudflare Secrets Storeのパブリックベータ版を発表した。これは、APIトークン、キー、および認証情報を安全に保存する方法だ。長期的な目標は、Secrets StoreをさまざまなCloudflare製品と統合することだが、現在はCloudflare Workersのみをサポートしている。Cloudflare Secrets Storeは、APIトークンからリクエスト認証ヘッダーまで、アプリケーションに必要な秘密情報を安全に保存・管理することを可能にする。CloudflareのプロダクトマネージャーであるMia Malden氏、システムエンジニアのMitali Rawat氏、そしてシステムエンジニアのJames Vaughan氏は次のように述べている。
環境変数と秘密情報は、2020年に初めてCloudflare Workersで導入されたものです。現在では、数百万のローカルな秘密情報がWorkersスクリプト上で展開されています。しかし、それらがすべてユニークというわけではありません (...) 数千もの秘密情報がスクリプト間で重複しており、それぞれが手動での作成と更新を必要としているため、個々のWorkersに秘密情報を限定することは開発者にとって大きな障害となっています (...) しかし、現在ではアカウントレベルの秘密情報と変数を作成し、それらをすべてのWorkersスクリプト間で共有することが可能です。それらはSecrets Store内で一元的に管理され、保護される仕組みです。
Cloudflare Secrets Storeは2023年5月に初めて発表されたが、それ以降のニュースは共有されておらず、コミュニティ内ではプロジェクトが中止されたのではないかという疑問が生じていた。2か月前、ユーザーのwaterforthemassesがRedditに次のように書き込んだ。
これは長い間待ち望まれていた機能であり、特にWorkerの環境変数の秘密情報の制約を考えると重要です。これが棚上げされたのか、それともまだ進行中なのか、Cloudflareに確認してもらえないでしょうか?そして可能であれば、おおよそのリリース時期を教えてほしいです。
ドキュメントによると、Workerの秘密情報はアカウントの役割に紐づけられており、Workerを変更できる人は秘密情報も変更できるが、アカウントレベルの秘密情報へのアクセスは詳細な制御によって制限されている。Cloudflare Secrets Storeは役割ベースのアクセス制御(RBAC)を使用しており、Secrets Storeへの変更はすべて監査ログに記録される。Malden氏、Rawat氏、そしてVaughan氏は次のように付け加えている。
現在、Worker内で秘密情報を使用するためには、その特定の秘密情報に対してバインディングを作成する必要があります。将来的には、ストア自体にバインディングを作成できるようにし、Workerがそのストア内の任意の秘密情報にアクセスできるようにする予定です。また、顧客がアカウント内に複数の秘密情報ストアを作成できるようにし、アクセスポリシーを作成する際にグループごとに秘密情報を管理できるようにする予定です。 この機能はコミュニティから強く要望されていたもので、Bruce Lee Harrison氏が1年前にRedditで質問した。
現在、PKIを広範に利用するものを構築しており、すべてをWorkerとR2データベース内で管理しなければならない状況です。これでも動作しますが、ルートキーには依然として問題があり、新しいSecret Storeがあれば完全に解決するはずです。CFは最初のブログ投稿以外に何か指針を示していますか?ベータ版にアクセスできた人はいるのでしょうか。
Cloudflare Secrets Storeは現在パブリックベータ版であり、Workersとの統合はすべての顧客に対してUIおよびAPIを通じて利用可能である。