Allgemeines

AWS Secrets Manager ist ein Secrets-Management-Dienst, mit dem Sie den Zugriff auf Ihre Anwendungen, Dienste und IT-Ressourcen schützen können. Dieser Dient ermöglicht Ihnen ein müheloses Rotieren, Verwalten und Abfragen von Datenbankanmeldeinformationen, API-Schlüsseln und anderen Secrets während ihres gesamten Lebenszyklus. Mit dem Secrets Manager können Sie Secrets, die zum Zugreifen auf Ressourcen in der AWS Cloud, für Drittanbieterdienste und lokal vor Ort verwendet werden, schützen und verwalten.

AWS Secrets Manager schützt den Zugriff auf Ihre Anwendungen, Dienste und IT-Ressourcen, ohne Vorabinvestitionen und laufend anfallenden Wartungskosten Ihrer eigenen Infrastruktur.

Secrets Manager ist für IT-Administratoren konzipiert, die nach einem sicheren und skalierbaren Verfahren zum Speichern und Verwalten von Secrets suchen. Für die Einhaltung regulatorischer und Compliance-bezogener Anforderungen zuständige Sicherheitsadministratoren können mit Secrets Manager Secrets überwachen und rotieren, ohne dabei Gefahr zu laufen, Anwendungen zu stören. Entwickler, die hartcodierte Secrets in ihren Anwendungen ersetzen möchten, können Secrets programmatisch von Secrets Manager abrufen lassen.

Mit AWS Secrets Manager können Sie Secrets zentral speichern, abrufen, rotieren, prüfen, überwachen sowie den Zugriff darauf kontrollieren.

Sie können gespeicherte Secrets verschlüsseln, um die Wahrscheinlichkeit zu reduzieren, dass unbefugte Benutzer sensible Daten einsehen. Zum Abrufen von Secrets ersetzen Sie einfach die Plaintext-Secrets in Ihren Anwendungen durch Code, um diese dann programmatisch mithilfe der Secrets Manager-APIs „hereinzuziehen“. Sie können mit den AWS Identity and Access Management-Richtlinien steuern, welche Benutzer und Anwendungen auf diese Secrets zugreifen können. Sie können Passwörter entweder plangemäß oder auf Nachfrage für unterstützte Datenbanktypen auf AWS rotieren, ohne dabei Gefahr zu laufen, Anwendungen zu stören. Sie können diese Funktionalität durch das Modifizieren von Lambda-Musterfunktionen erweitern, sodass andere Secrets rotiert werden, wie Passwörter für Oracle-Datenbanken auf Amazon EC2- oder OAuth-Aktualisierungstoken. Da Secrets Manager in AWS CloudTrail, Amazon CloudWatch, und Amazon Simple Notification Service (Amazon SNS) integriert ist, können Sie Secrets zudem prüfen und überwachen.

Sie können Secrets wie Datenbankanmeldedaten, Anmeldedaten bei lokalen Ressourcen, Anmeldedaten für SaaS-Anwendungen, API-Schlüssel von Drittanbietern und Secure Shell (SSH)-Schlüssel verwalten. Mit Secrets Manager können Sie ein JSON-Dokument speichern, mit dem Sie jeden Textauszug von max. 64 KB verwalten können.

Sie können Anmeldedaten für Amazon Relational Database Service (RDS), Amazon DocumentDB und Amazon Redshift nativ rotieren. Sie können Secrets Manager durch das Modifizieren von AWS Lambda-Musterfunktionen, die in der Dokumentation zu Secrets Manager beschrieben sind, erweitern, sodass andere Secrets rotiert werden, wie Secrets, wie die Anmeldedaten für Oracle-Datenbanken auf EC2- oder OAuth-Aktualisierungstoken.

Zunächst einmal müssen Sie eine AWS Identity and Access Management (IAM)-Richtlinie verfassen, mit der Ihrer Anwendung der Zugriff auf bestimmte Secrets gestattet wird. Dann können Sie im Quellcode der Anwendung Plaintext-Secrets durch Code ersetzen, um diese Secrets programmatisch mithilfe der Secrets Manager-APIs abrufen zu lassen. Alle Einzelheiten und Beispiele finden Sie im Benutzerhandbuch zum AWS Secrets Manager.

Erste Schritte mit AWS Secrets Manager

  1. Identifizieren Sie Ihre Secrets und lokalisieren Sie die Stellen, an denen sie in Ihren Anwendungen verwendet werden.
  2. Melden Sie sich mit Ihren AWS-Anmeldedaten bei der AWS Managementkonsole an, und navigieren Sie zur Secrets Manager-Konsole.
  3. Laden Sie das von Ihnen identifizierte Secret über die Secrets Manager-Konsole hoch. Alternativ können Sie AWS SDK- oder AWS-Befehlszeilenschnittstelle (CLI) zum Hochladen eines Secrets verwenden (einmal pro Secret). Sie können auch ein Skript zum Hochladen mehrerer Secrets verfassen.
  4. Wenn Ihr Secret noch nicht verwendet wird, befolgen Sie zum Konfigurieren einer automatischen Rotation die Anweisungen an der Konsole. Wenn Anwendungen Ihr Secret nutzen, führen Sie vor der Konfiguration der automatischen Rotation die Schritte (5) und (6) aus.
  5. Wenn andere Benutzer oder Anwendungen das Secret abrufen müssen, verfassen Sie eine IAM-Richtlinie, um den Zugriff auf das Secret zu gestatten.
  6. Aktualisieren Sie Ihre Anwendungen, um Secrets von Secrets Manager abzurufen.

Informationen zu den aktuell für AWS-Services verfügbaren Regionen finden Sie in der Tabelle der AWS-Regionen.

Rotation

Mit AWS Secrets Manager können Sie die plangemäße Rotation der Datenbank-Anmeldedaten konfigurieren. Dadurch können Sie die bewährten Methoden in puncto Schutz und Sicherheit befolgen und Ihre Datenbank-Anmeldedaten auf sichere Weise rotieren lassen. Wenn Secrets Manager eine Rotation einleitet, werden dafür die von Ihnen bereitgestellten Super-Datenbank-Anmeldedaten verwendet. Alternativ können Sie auch einen Klon mit denselben Privilegien, jedoch einem anderen Passwort anlegen. Secrets Manager kommuniziert die Klon-Benutzerdaten dann an die Datenbanken und Anwendungen, indem es die Datenbank-Anmeldedaten abruft. Weitere Informationen zur Rotation erhalten Sie im AWS Secrets Manager-Rotationshandbuch.

Nein. Die Authentifizierung erfolgt beim Herstellen einer Verbindung. Wenn der AWS Secrets Manager die Anmeldedaten für eine Datenbank rotiert, wird die offene Datenbankverbindung nicht erneut authentifiziert.

Sie können Amazon CloudWatch Events so konfigurieren, dass Sie eine Benachrichtigung erhalten, wenn AWS Secrets Manager ein Secret rotiert. Sie können mithilfe der Secrets Manager-Konsole oder mithilfe von APIs zudem sehen, wann Secrets Manager zuletzt ein Secret rotieren lassen hat.

Sicherheit

AWS Secrets Manager verschlüsselt gespeicherte Secrets mithilfe von Verschlüsselungsschlüsseln in Ihrem Besitz, die Sie im AWS Key Management Service (KMS) speichern. Sie können den Zugriff auf das Secret mithilfe der AWS Identity and Access Management (IAM)-Richtlinie kontrollieren. Beim Abrufen eines Secrets entschlüsselt Secrets Manager das Secret und überträgt es sicher über TLS in Ihre lokale Umgebung. Standardmäßig übernimmt Secrets Manager weder das Schreiben noch das Ablegen im persistenten Speicher.

Sie können die Zugriffsberechtigungen von Benutzern und Anwendungen zum Abrufen oder Verwalten der jeweiligen Secrets mit den AWS Identity and Access Management (IAM)-Richtlinien kontrollieren. So können Sie beispielsweise eine Richtlinie anlegen, gemäß der nur Entwickler für die Entwicklungsumgebung verwendete Secrets abrufen dürfen. Weitere Informationen erhalten Sie unter Authentifizierung und Zugriffskontrolle für AWS Secrets Manager.

AWS Secrets Manager nutzt die Envelope-Verschlüsselung (AES-256-Verschlüsselungsalgorithmus) zum Verschlüsseln Ihrer Secrets im AWS Key Management Service (KMS).

Wenn Sie Secrets Manager zum ersten Mal verwenden, können Sie die AWS-KMS-Schlüssel zur Verschlüsselung von Geheimnissen festlegen. Wenn Sie keinen KMS-Schlüssel festlegen, generiert Secrets Manager für Ihr Konto automatisch AWS-KMS-Standardschlüssel. Wenn ein Geheimnis gespeichert wird, fordert Secrets Manager einen Klartext und einen verschlüsselten Datenschlüssel vom KMS an. Secrets Manager nutzt den Plaintext-Datenschlüssel zum Verschlüsseln des Secrets im Arbeitsspeicher. AWS Secrets Manager speichert und pflegt das verschlüsselte Secret und den verschlüsselten Datenschlüssel. Wenn ein Secret abgerufen wird, entschlüsselt Secret Manager den Datenschlüssel (mithilfe der AWS KMS-Standardschlüssel) und nutzt den Plaintext-Datenschlüssel dann zum Entschlüsseln des Secrets. Der Datenschlüssel ist verschlüsselt gespeichert und wird nie in Plaintext auf das Speichermedium geschrieben. Darüber hinaus übernimmt Secrets Manager weder das Schreiben noch das Ablegen von Plaintext-Secrets im persistenten Speicher.

Fakturierung

Bei Secrets Manager zahlen Sie nur für das, was Sie auch tatsächlich nutzen. Es fallen keine Mindestgebühren an. Sie können mit der Verwendung dieses Service beginnen, ohne dass Ihnen Einrichtungsgebühren oder sonstige Verpflichtungen entstehen. Nach Ende eines Monats wird Ihre Kreditkarte automatisch mit den Nutzungsgebühren für den betreffenden Monat belastet. Ihnen wird die Anzahl an Secrets in Rechnung gestellt, die Sie speichern, sowie die Anzahl der API-Anforderungen, die jeden Monat an den Dienst gestellt werden.

Die aktuelle Preisstruktur finden Sie unter AWS Secrets Manager – Preise.

Ja, Sie können Secrets Manager in unserem kostenlosen 30-Tage-Testprogramm von AWS Secrets Manager ausprobieren, ohne dass zusätzliche Gebühren anfallen. Während des kostenlosen 30-Tage-Testprogramms können Sie Secrets rotieren, verwalten und abrufen. Das kostenlose Testprogramm startet, wenn Sie Ihr erstes Secret speichern.