Proteja el almacenamiento de datos confidenciales

AWS Secrets Manager cifra datos confidenciales en reposo mediante claves de cifrado que posee y almacena en AWS Key Management Service (AWS KMS). 

  • Cuando recupera un dato confidencial, Secrets Manager lo descifra y lo transmite de forma segura a través de TLS a su entorno local.
  • Secrets Manager se integra con AWS Identity and Access Management (AWS IAM) para controlar el acceso al dato confidencial a través de las políticas minuciosas de IAM y de políticas basadas en recursos.

Rotación automática de datos confidenciales sin interrumpir las aplicaciones

Con AWS Secrets Manager, puede rotar datos confidenciales en forma programada o bajo demanda con la consola de Secrets Manager, AWS SDK o la CLI de AWS. 

  • Secrets Manager admite de forma nativa credenciales rotativas para bases de datos alojadas en Amazon RDS y Amazon DocumentDB y clústeres alojados en Amazon Redshift.
  • Puede ampliar Secrets Manager para rotar datos confidenciales que se usan con otros servicios 3P o de AWS al modificar las funciones de muestra de Lambda.

Replicación automática de datos confidenciales a varias regiones de AWS

Con AWS Secrets Manager, puede replicar automáticamente datos confidenciales a varias regiones de AWS para satisfacer sus requisitos únicos de recuperación de desastres y redundancia entre regiones. Especifique las regiones de AWS en las que se tiene que replicar un dato confidencial para que Secrets Manager cree réplicas de lectura regionales de forma segura, lo que elimina la necesidad de mantener una solución compleja para esta funcionalidad. Puede dar a sus aplicaciones de varias regiones acceso a datos confidenciales replicados en las regiones requeridas y confiar en Secrets Manager para mantener las réplicas sincronizadas con el dato confidencial principal.

Recuperación de datos confidenciales mediante programas

Cree aplicaciones priorizando la seguridad de los datos confidenciales.

  • Secrets Manager proporciona ejemplos de código para llamar a las API de Secrets Manager desde lenguajes de programación comunes. Hay dos tipos de API para recuperar secretos:
    • Recupere un único secreto por nombre o ARN.
    • Recupere un grupo de secretos mediante una lista de nombres o ARN, o al filtrar criterios, como etiquetas.
  • Configure los puntos de conexión de Amazon Virtual Private Cloud (Amazon VPC) para que mantengan el tráfico entre su VPC y Secrets Manager en la red de AWS.
  • También puede usar las bibliotecas de almacenamiento en caché por parte del cliente de AWS Secrets Manager para mejorar la disponibilidad y reducir la latencia durante la recuperación de datos confidenciales.

Audite y monitorice el uso de datos confidenciales

AWS Secrets Manager le permite auditar y supervisar datos confidenciales a través de la integración en los servicios de registro, supervisión y notificación de AWS. Por ejemplo, después de habilitar AWS CloudTrail para una región de AWS, puede auditar cuándo se crea o rota un dato confidencial viendo los registros de AWS CloudTrail. Del mismo modo, puede configurar Amazon CloudWatch para recibir mensajes de correo electrónico utilizando el servicio de notificación simple de Amazon cuando los datos confidenciales permanezcan sin usar por un período, o puede configurar eventos de Amazon CloudWatch para recibir notificaciones automáticas cuando Secrets Manager los rota.

Conformidad

Puede usar AWS Secrets Manager para cumplir con los requisitos de conformidad.

  • Use las reglas de AWS Config para poder verificar que los datos confidenciales se configuran según los requisitos de conformidad y seguridad de su organización.
  • Administre los datos confidenciales de las cargas de trabajo que están sujetas a la Guía de Requisitos de Seguridad para la Computación en la Nube del Departamento de Defensa (DoD CC SRG IL2, DoD CC SRG IL4 y DoD CC SRG IL5), el Programa Federal de Administración de Riesgos y Autorizaciones (FedRAMP), la Ley de Responsabilidad y Portabilidad de Seguros de Salud (HIPAA) de Estados Unidos, el Programa de Asesores Registrados para la Seguridad de la Información (Information Security Registered Assessors Program, IRAP), el Informe de auditoría de proveedores de servicios externos (Outsourced Service Provider’s Audit Report, OSPAR), las normas ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO 9001, el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI-DSS) o los Controles de Sistemas y Organizaciones (System and Organization Controls, SOC).
  • Consulte los detalles del informe y el programa de conformidad de AWS en AWS Artifact.

Integración de Secrets Manager

Los servicios de AWS se integran con Secrets Manager para administrar de manera segura las credenciales. Estas integraciones le ayudan a intercambiar credenciales con varios servicios de AWS. Las credenciales almacenadas en Secrets Manager se cifran mediante las claves de KMS administradas por AWS o las claves administradas por el cliente. Secrets Manager rota los datos confidenciales de manera periódica con el fin de mantener elevada la seguridad. Una vez que los secretos se almacenen con Secrets Manager, podrá proporcionar el ARN de uno de estos en lugar de la credencial en texto sin formato cuando lo requiera un servicio de AWS.

Servicios integrados

Alexa for Business
AWS App2Container
Amazon AppFlow
AWS AppSync
Amazon Athena
AWS CodeBuild
AWS Direct Connect
AWS Directory Service
Amazon DocumentDB (con compatibilidad con MongoDB)
AWS Elemental MediaLive
AWS Elemental MediaConnect
AWS Elemental MediaConvert
Revisor de Amazon CodeGuru
AWS Elemental MediaPackage
AWS Elemental MediaTailor
Amazon EMR
Amazon EventBridge
Amazon FSx
AWS Glue DataBrew
AWS Glue Studio
AWS IoT SiteWise
Amazon Kendra
AWS Launch Wizard
Amazon Lookout for Metrics
Amazon Managed Streaming para Apache Kafka (Amazon MSK)
Amazon Managed Workflows para Apache Airflow (Amazon MWAA)
AWS Migration Hub
AWS OpsWorks para Chef Automate
Amazon Relational Database Service (Amazon RDS)
Amazon Redshift
Editor de consultas v2 de Amazon Redshift
Amazon SageMaker
Kit de herramientas de AWS para JetBrains
AWS Transfer Family