Armazenamento seguro de segredos

O AWS Secrets Manager criptografa segredos ociosos usando chaves de criptografia das quais você é proprietário e armazena no AWS Key Management Service (AWS KMS). 

  • Quando você recupera um segredo, o Secrets Manager o descriptografa e o transmite com segurança por meio de TLS ao seu ambiente local.
  • O Secrets Manager se integra ao AWS Identity and Access Management (IAM) para controlar o acesso ao segredo usando políticas refinadas do IAM e políticas baseadas em recursos.

Alternância automática de segredos sem afetar aplicativos

Com o AWS Secrets Manager, você pode alternar segredos de forma programada ou sob demanda usando o console do Secrets Manager, bem como o SDK e a ILC da AWS. 

  • O Secrets Manager oferece suporte em modo nativo à alternância de credenciais para bancos de dados hospedados no Amazon RDS e no Amazon DocumentDB e para clusters hospedados no Amazon Redshift.
  • Você pode estender o Secrets Manager para alternar segredos usados com outros serviços da AWS ou 3P modificando as funções de amostra do Lambda.

Replicação automática de segredos para várias regiões da AWS

Com o AWS Secrets Manager, você pode replicar automaticamente seus segredos para várias regiões da AWS para atender aos seus requisitos exclusivos de recuperação de desastres e redundância entre regiões. Especifique as regiões da AWS em que um segredo precisa ser replicado e o Secrets Manager criará com segurança réplicas de leitura regionais, eliminando a necessidade de manter uma solução complexa para esta funcionalidade. Você pode conceder às suas aplicações multirregionais acesso a segredos replicados nas regiões necessárias e contar com o Secrets Manager para manter as réplicas em sincronia com o segredo primário.

Recuperação programática de segredos

Crie aplicações com a segurança dos segredos em mente.

  • O Secrets Manager fornece exemplos de código para chamar APIs do Secrets Manager a partir de linguagens de programação comuns. Há dois tipos de APIs para recuperar segredos:
    • Recupere um único segredo por nome ou ARN.
    • Recupere um grupo de segredos fornecendo uma lista de nomes, ARNs ou critérios de filtro, como tags.
  • Configure endpoints da nuvem privada virtual (VPC) da Amazon para manter o tráfego entre sua VPC e o Secrets Manager na rede da AWS.
  • Você também pode usar bibliotecas de armazenamento em cache no lado do cliente do Secrets Manager para melhorar a disponibilidade e reduzir a latência durante a recuperação de segredos.

Audite e monitore o uso de segredos

O AWS Secrets Manager permite auditar e monitorar segredos por meio da integração com os serviços de registro em log, monitoramento e notificação da AWS. Por exemplo, depois de habilitar o AWS CloudTrail em uma região da AWS, você pode auditar quando um segredo é criado ou alternado visualizando os logs do AWS CloudTrail. De forma semelhante, você pode configurar o Amazon CloudWatch para receber mensagens de e-mail usando o Amazon Simple Notification Service os segredos não são usados por um período. Ou configurar o Amazon CloudWatch Events para receber notificações por push quando o Secrets Manager alterna os segredos.

Conformidade

Você pode usar o AWS Secrets Manager para atender aos requisitos de conformidade.

  • Use o AWS Config para ajudar você a verificar se seus segredos estão configurados de acordo com os requisitos de segurança e conformidade de sua organização.
  • Gerencie segredos de workloads sujeitas ao Guia de Requisitos de Segurança da Computação em Nuvem do Departamento de Defesa (DoD CC SRG IL2, DoD CC SRG IL4 e DoD CC SRG IL5), ao Federal Risk and Authorization Management Program (FedRAMP – Programa federal de gerenciamento de riscos e autorizações), EUA. Health Insurance Portability and Accountability Act (HIPAA, Lei de portabilidade e responsabilidade de seguros de saúde) dos EUA, ao Information Security Registered Assessors Program (IRAP, Programa de avaliadores registrados de segurança das informações), ao Outsourced Service Provider’s Audit Report (OSPAR, Relatório de auditoria do prestador de serviços terceirizados), à ISO/IEC 27001, à ISO/IEC 27017, à ISO/IEC 27018, à ISO 9001, à Payment Card Industry Data Security Standard (PCI-DSS, Norma de segurança de dados do setor de cartões de pagamento), ou ao System and Organization Control (SOC, Controle de sistemas e organizações).
  • Consulte os detalhes do programa e do relatório de conformidade da AWS no AWS Artifact.

Integração do Secrets Manager

Os serviços da AWS se integram ao Secrets Manager para gerenciar suas credenciais com segurança. Essas integrações ajudam você a trocar credenciais com segurança com vários serviços da AWS. As credenciais armazenadas no Secrets Manager são criptografadas usando chaves KMS gerenciadas pela AWS ou chaves gerenciadas pelo cliente. O Secrets Manager alterna os segredos periodicamente para manter o nível de segurança alto. Depois que seus segredos forem armazenados com o Secrets Manager, você poderá fornecer o ARN de um segredo, em vez de uma credencial de texto simples, para um serviço da AWS.

Serviços integrados

Alexa for Business
AWS App2Container
Amazon AppFlow
AWS AppSync
Amazon Athena
AWS CodeBuild
AWS Direct Connect
AWS Directory Service
Amazon DocumentDB (compatível com MongoDB)
AWS Elemental MediaLive
AWS Elemental MediaConnect
AWS Elemental MediaConvert
Amazon CodeGuru Reviewer
AWS Elemental MediaPackage
AWS Elemental MediaTailor
Amazon EMR
Amazon EventBridge
Amazon FSx
AWS Glue DataBrew
AWS Glue Studio
AWS IoT SiteWise
Amazon Kendra
AWS Launch Wizard
Amazon Lookout for Metrics
Amazon Managed Streaming for Apache Kafka (Amazon MSK)
Amazon Managed Workflows for Apache Airflow (Amazon MWAA)
AWS Migration Hub
AWS OpsWorks para Chef Automate
Amazon Relational Database Service (Amazon RDS)
Amazon Redshift
Amazon Redshift query editor v2
Amazon SageMaker
kit de ferramentas da AWS para JetBrains
AWS Transfer Family