Storage sicuro di chiavi segrete
Gestione dei segreti AWS esegue la crittografia a riposo delle chiavi segrete con chiavi di crittografia gestibili e archiviabili nel Servizio di gestione delle chiavi AWS (AWS KMS).
- Quando viene recuperata una chiave segreta, Secrets Manager la decrittografa e la trasmette in modo sicuro all'ambiente locale utilizzando il protocollo TLS.
- Gestione dei segreti si integra con AWS Identity and Access Management (IAM) per controllare l'accesso alla chiave segreta utilizzando le policy granulari e le policy basate sulle risorse di IAM.
Modifica automatica delle chiavi segrete senza interruzioni alle applicazioni
Con Gestione dei segreti AWS, è possibile pianificare la modifica delle chiavi segrete o modificarle on demand utilizzando la console di Gestione dei segreti, AWS SDK o AWS CLI.
- Gestione dei segreti supporta nativamente la rotazione delle credenziali per database ospitati su Amazon RDS e Amazon DocumentDB e cluster ospitati su Amazon Redshift.
- Puoi estendere Gestione dei segreti per modificare le chiavi segrete utilizzate in altri servizi AWS o 3P modificando le funzioni campione di Lambda.
Replica automatica di chiavi segrete in più regioni AWS
Con Gestione dei segreti AWS, puoi replicare automaticamente le chiavi segrete in più regioni AWS in modo da soddisfare le esigenze uniche di ripristino di emergenza e di ridondanza tra le varie regioni. Specifica le regioni AWS in cui è necessario replicare una chiave segreta; Gestione segreti creerà in modo sicuro repliche di lettura regionali e non sarà necessario gestire una soluzione complessa per questa funzionalità. Puoi concedere alle applicazioni per più regioni l'accesso alle chiavi segrete replicate nelle regioni richieste e fare affidamento su Gestione segreti per la sincronizzazione delle repliche con la chiave segreta principale.
Recupero programmatico di chiavi segrete
Crea le tue applicazioni pensando alla sicurezza delle chiavi segrete.
- Secrets Manager fornisce esempi di codice per chiamare le API di Secrets Manager con linguaggi di programmazione comuni. Esistono due tipi di API per recuperare i segreti:
- Recupero di un singolo segreto per nome o ARN.
- Recupero di un gruppo di segreti fornendo un elenco di nomi o ARN, o inserendo dei filtri tra cui i tag.
- Configura gli endpoint del cloud privato virtuale (VPC) per mantenere il traffico all'interno del tuo VPC e Secrets Manager nella rete AWS.
- Puoi anche utilizzare le librerie di caching lato client di Gestione segreti per migliorare la disponibilità e ridurre la latenza durante il recupero delle chiavi segrete.
Audit e monitoraggio dell'uso delle chiavi segrete
Gestione dei segreti AWS permette di eseguire audit e monitorare le chiavi segrete utilizzando l'integrazione con i servizi AWS dedicati a registrazione di log, monitoraggio e notifiche. Ad esempio, dopo aver abilitato AWS CloudTrail in una determinata regione AWS, è possibile verificare quando una chiave segreta viene creata o modificata controllando i registri di AWS CloudTrail. Analogamente, è possibile configurare Amazon CloudWatch in modo da ricevere un'e-mail tramite Amazon Simple Notification Service quando una chiave segreta rimane inutilizzata a lungo, oppure configurare Amazon CloudWatch Events in modo da ricevere notifiche push quando Secrets Manager procede a una delle modifiche periodiche.
Conformità
Puoi utilizzare Gestione dei segreti AWS per soddisfare i requisiti di conformità.
- Utilizza le regole di AWS Config per valutare se le chiavi segrete sono configurate secondo la sicurezza della tua organizzazione e con i requisiti di conformità.
- Gestisci le chiavi segrete per i carichi di lavoro soggetti alla Guida ai requisiti di sicurezza del cloud computing del Dipartimento della Difesa (DoD CC SRG IL2, DoD CC SRG IL4 e DoD CC SRG IL5), Federal Risk and Authorization Management Program (FedRAMP), U.S. Health Insurance Portability and Accountability Act (HIPAA), Information Security Registered Assessors Program (IRAP), Outsourced Service Provider's Audit Report (OSPAR), ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO 9001, Payment Card Industry Data Security Standard (PCI-DSS) o System and Organization Control (SOC).
- Ulteriori informazioni sul programma di conformità e report AWS su AWS Artifact.
Integrazione di Secrets Manager
I servizi AWS si integrano con Gestione segreti per gestire le tue credenziali in modo sicuro. Queste integrazioni ti aiutano a scambiare le credenziali in sicurezza con i vari servizi AWS. Le credenziali archiviate in Gestione segreti sono crittografate utilizzando le chiavi KMS gestite da AWS o le chiavi gestite dai clienti. Gestione segreti modifica periodicamente le chiavi segrete per mantenere alto il livello di sicurezza. Dopo aver archiviato i segreti con Secrets Manager, potrai fornire l'ARN di un segreto invece di credenziali di testo nei servizi AWS.
Servizi integrati
Alexa for Business
AWS App2Container
Amazon AppFlow
AWS AppSync
Amazon Athena
AWS CodeBuild
AWS Direct Connect
Servizio di directory AWS
Amazon DocumentDB (compatibile con MongoDB)
AWS Elemental MediaLive
AWS Elemental MediaConnect
AWS Elemental MediaConvert
Revisore Amazon CodeGuru
AWS Elemental MediaPackage
AWS Elemental MediaTailor
Amazon EMR
Amazon EventBridge
Amazon FSx
AWS Glue DataBrew
AWS Glue Studio
AWS IoT SiteWise
Amazon Kendra
Avvio della procedura guidata AWS
Amazon Lookout per le metriche
Streaming gestito da Amazon per Apache Kafka (Amazon MSK)
Flusso di lavoro gestito da Amazon per Apache Airflow (Amazon MWAA)
Hub di migrazione AWS
AWS OpsWorks per Chef Automate
Amazon Relational Database Service (Amazon RDS)
Amazon Redshift
Amazon Redshift Query Editor v2
Amazon SageMaker
Kit di strumenti AWS per JetBrains
AWS Transfer Family