Armazenamento seguro de segredos

O AWS Secrets Manager criptografa segredos ociosos usando chaves de criptografia das quais você é proprietário e armazena no AWS Key Management Service (AWS KMS). 

  • Quando você recupera um segredo, o Secrets Manager o descriptografa e o transmite com segurança por meio de TLS ao seu ambiente local.
  • O Secrets Manager se integra ao AWS Identity and Access Management (IAM) para controlar o acesso ao segredo usando políticas refinadas do IAM e políticas baseadas em recursos.

Alternância automática de segredos sem afetar aplicativos

Com o AWS Secrets Manager, você pode alternar segredos de forma programada ou sob demanda usando o console do Secrets Manager, bem como o SDK e a ILC da AWS. 

  • O Secrets Manager oferece suporte em modo nativo à alternância de credenciais para bancos de dados hospedados no HAQM RDS e no HAQM DocumentDB e para clusters hospedados no HAQM Redshift.
  • Você pode estender o Secrets Manager para alternar segredos usados com outros serviços da AWS ou 3P modificando as funções de amostra do Lambda.

Replicação automática de segredos para várias regiões da AWS

Com o AWS Secrets Manager, você pode replicar automaticamente seus segredos para várias regiões da AWS para atender aos seus requisitos exclusivos de recuperação de desastres e redundância entre regiões. Especifique as regiões da AWS em que um segredo precisa ser replicado e o Secrets Manager criará com segurança réplicas de leitura regionais, eliminando a necessidade de manter uma solução complexa para esta funcionalidade. Você pode conceder às suas aplicações multirregionais acesso a segredos replicados nas regiões necessárias e contar com o Secrets Manager para manter as réplicas em sincronia com o segredo primário.

Recuperação programática de segredos

Crie aplicações com a segurança dos segredos em mente.

  • O Secrets Manager fornece exemplos de código para chamar APIs do Secrets Manager a partir de linguagens de programação comuns. Há dois tipos de APIs para recuperar segredos:
    • Recupere um único segredo por nome ou ARN.
    • Recupere um grupo de segredos fornecendo uma lista de nomes, ARNs ou critérios de filtro, como tags.
  • Configure endpoints da nuvem privada virtual (VPC) da HAQM para manter o tráfego entre sua VPC e o Secrets Manager na rede da AWS.
  • Você também pode usar bibliotecas de armazenamento em cache no lado do cliente do Secrets Manager para melhorar a disponibilidade e reduzir a latência durante a recuperação de segredos.

Audite e monitore o uso de segredos

O AWS Secrets Manager permite auditar e monitorar segredos por meio da integração com os serviços de registro em log, monitoramento e notificação da AWS. Por exemplo, depois de habilitar o AWS CloudTrail em uma região da AWS, você pode auditar quando um segredo é criado ou alternado visualizando os logs do AWS CloudTrail. De forma semelhante, você pode configurar o HAQM CloudWatch para receber mensagens de e-mail usando o HAQM Simple Notification Service os segredos não são usados por um período. Ou configurar o HAQM CloudWatch Events para receber notificações por push quando o Secrets Manager alterna os segredos.

Conformidade

Você pode usar o AWS Secrets Manager para atender aos requisitos de conformidade.

  • Use o AWS Config para ajudar você a verificar se seus segredos estão configurados de acordo com os requisitos de segurança e conformidade de sua organização.
  • Gerencie segredos de workloads sujeitas ao Guia de Requisitos de Segurança da Computação em Nuvem do Departamento de Defesa (DoD CC SRG IL2, DoD CC SRG IL4 e DoD CC SRG IL5), ao Federal Risk and Authorization Management Program (FedRAMP – Programa federal de gerenciamento de riscos e autorizações), EUA. Health Insurance Portability and Accountability Act (HIPAA, Lei de portabilidade e responsabilidade de seguros de saúde) dos EUA, ao Information Security Registered Assessors Program (IRAP, Programa de avaliadores registrados de segurança das informações), ao Outsourced Service Provider’s Audit Report (OSPAR, Relatório de auditoria do prestador de serviços terceirizados), à ISO/IEC 27001, à ISO/IEC 27017, à ISO/IEC 27018, à ISO 9001, à Payment Card Industry Data Security Standard (PCI-DSS, Norma de segurança de dados do setor de cartões de pagamento), ou ao System and Organization Control (SOC, Controle de sistemas e organizações).
  • Consulte os detalhes do programa e do relatório de conformidade da AWS no AWS Artifact.

Integração do Secrets Manager

Os serviços da AWS se integram ao Secrets Manager para gerenciar suas credenciais com segurança. Essas integrações ajudam você a trocar credenciais com segurança com vários serviços da AWS. As credenciais armazenadas no Secrets Manager são criptografadas usando chaves KMS gerenciadas pela AWS ou chaves gerenciadas pelo cliente. O Secrets Manager alterna os segredos periodicamente para manter o nível de segurança alto. Depois que seus segredos forem armazenados com o Secrets Manager, você poderá fornecer o ARN de um segredo, em vez de uma credencial de texto simples, para um serviço da AWS.

Serviços integrados

Alexa for Business
AWS App2Container
HAQM AppFlow
AWS AppSync
HAQM Athena
AWS CodeBuild
AWS Direct Connect
AWS Directory Service
HAQM DocumentDB (compatível com MongoDB)
AWS Elemental MediaLive
AWS Elemental MediaConnect
AWS Elemental MediaConvert
HAQM CodeGuru Reviewer
AWS Elemental MediaPackage
AWS Elemental MediaTailor
HAQM EMR
HAQM EventBridge
HAQM FSx
AWS Glue DataBrew
AWS Glue Studio
AWS IoT SiteWise
HAQM Kendra
AWS Launch Wizard
HAQM Lookout for Metrics
HAQM Managed Streaming for Apache Kafka (HAQM MSK)
HAQM Managed Workflows for Apache Airflow (HAQM MWAA)
AWS Migration Hub
AWS OpsWorks para Chef Automate
HAQM Relational Database Service (HAQM RDS)
HAQM Redshift
HAQM Redshift query editor v2
HAQM SageMaker
kit de ferramentas da AWS para JetBrains
AWS Transfer Family