Sicherer Secrets-Speicher
AWS Secrets Manager verschlüsselt gespeicherte Secrets mithilfe von Verschlüsselungsschlüsseln in Ihrem Besitz, die Sie im AWS Key Management Service (AWS KMS) speichern.
- Beim Abrufen eines Secrets entschlüsselt Secrets Manager das Secret und überträgt es sicher über TLS in Ihre lokale Umgebung.
- Secrets Manager lässt sich mit AWS Identity and Access Management (IAM) integrieren, um den Zugriff auf das Geheimnis mithilfe von fein abgestuften IAM-Richtlinien und ressourcenbasierten Richtlinien zu steuern.
Automatische Rotation von Secrets ohne das Stören von Anwendungen
Mit AWS Secrets Manager können Sie Secrets mit der Secrets-Manager-Konsole, AWS SDK oder AWS CLI plangemäß oder auf Nachfrage rotieren.
- Secrets Manager unterstützt nativ rotierende Anmeldeinformationen für Datenbanken, die auf Amazon RDS und Amazon DocumentDB gehostet werden, und Cluster, die auf Amazon Redshift gehostet werden.
- Sie können Secrets Manager erweitern, um Secrets zu rotieren, die mit anderen AWS- oder 3P-Services verwendet werden, indem Sie Lambda-Beispielfunktionen ändern.
Automatische Replikation von Secrets in mehrere AWS-Regionen
Mit AWS Secrets Manager können Sie Ihre Geheimnisse automatisch in mehrere AWS-Regionen replizieren, um Ihre einzigartigen Anforderungen an die Notfallwiederherstellung und überregionale Redundanz zu erfüllen. Geben Sie die AWS-Regionen an, in denen ein Geheimnis repliziert werden muss: Secrets Manager erstellt sicher regionale Lese-Replikate, so dass keine komplexe Lösung für diese Funktionalität erforderlich ist. Sie können Ihren Anwendungen mit mehreren Regionen Zugriff auf replizierte Geheimnisse in den erforderlichen Regionen geben und sich darauf verlassen, dass der Secrets Manager die Replikate mit dem primären Geheimnis synchron hält.
Programmatisches Abrufen von Secrets
Entwickeln Sie Ihre Anwendungen so, dass die Sicherheit von Geheimnissen an erster Stelle steht.
- Secrets Manager bietet Codebeispiele für den Aufruf von Secrets Manager APIs aus gängigen Programmiersprachen. Es gibt zwei Arten von APIs zum Abrufen von Geheimnissen:
- Ruft ein einzelnes Geheimnis nach Namen oder ARN ab.
- Rufen Sie eine Gruppe von Geheimnissen ab, indem Sie eine Liste mit Namen oder ARNs oder Filterkriterien wie Tags angeben.
- Konfigurieren Sie Amazon-Virtual-Private-Cloud(VPC)-Endpunkte so, dass der Datenverkehr zwischen Ihrem VPC und Secrets Manager im AWS-Netzwerk erhalten bleibt.
- Sie können auch die clientseitigen Caching-Bibliotheken von Secrets Manager verwenden, um die Verfügbarkeit zu verbessern und die Latenzzeit beim Abrufen von Geheimnissen zu verringern.
Audit und Überwachung der Secrets-Nutzung
Mit AWS Secrets Manager können Sie Secrets durch die Integration in AWS-Anmeldungs-, -Überwachungs- und -Benachrichtigungsdienste prüfen und überwachen. Nachdem Sie beispielsweise AWS CloudTrail für eine AWS-Region aktiviert haben, können Sie anhand der AWS CloudTrail-Protokolle prüfen, wann ein Geheimnis erstellt oder rotiert wird. Sie können auch Amazon CloudWatch so konfigurieren, dass Sie E-Mail-Nachrichten unter Verwendung des Amazon Simple Notification Service erhalten, wenn Secrets über einen bestimmten Zeitraum hinweg ungenutzt bleiben. Alternativ können Sie auch Amazon CloudWatch-Ereignisse so konfigurieren, dass Sie Push-Benachrichtigungen erhalten, wenn Secrets Manager Ihre Secrets rotiert.
Compliance
Sie können AWS Secrets Manager verwenden, um Compliance-Anforderungen zu erfüllen.
- Mit den AWS-Config-Regeln können Sie überprüfen, ob Ihre Geheimnisse gemäß den Sicherheits- und Compliance-Anforderungen Ihres Unternehmens konfiguriert sind.
- Verwalten Sie Geheimnisse für Workloads, die dem Cloud Computing Security Requirements Guide des Verteidigungsministeriums (DoD CC SRG IL2, DoD CC SRG IL4 und DoD CC SRG IL5), Federal Risk and Authorization Management Program (FedRAMP) der USA, unterliegen. Health Insurance Portability and Accountability Act (HIPAA), Information Security Registered Assessors Program (IRAP), Outsourced Service Provider's Audit Report (OSPAR), ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO 9001, Payment Card Industry Data Security Standard (PCI-DSS) oder System and Organization Control (SOC).
- Weitere Informationen zum Compliance-Programm und zum Bericht von AWS finden Sie unter AWS Artifact.
Secrets Manager Integration
AWS-Services sind mit Secrets Manager integriert, um Ihre Anmeldedaten sicher zu verwalten. Diese Integrationen helfen Ihnen beim sicheren Austausch von Anmeldeinformationen mit verschiedenen AWS-Services. Die in Secrets Manager gespeicherten Anmeldeinformationen werden entweder mit von AWS verwalteten KMS-Schlüsseln oder mit vom Kunden verwalteten Schlüsseln verschlüsselt. Secrets Manager wechselt die Geheimnisse regelmäßig, um die Sicherheitslatte hoch zu halten. Sobald Ihre Geheimnisse mit Secrets Manager gespeichert sind, können Sie einem AWS-Service den ARN eines Geheimnisses anstelle einer Klartext-Anmeldeinformation zur Verfügung stellen.
Integrierte Services
Alexa for Business
AWS App2Container
Amazon AppFlow
AWS AppSync
Amazon Athena
AWS CodeBuild
AWS Direct Connect
AWS Directory Service
Amazon DocumentDB (mit MongoDB-Kompatibilität)
AWS Elemental MediaLive
AWS Elemental MediaConnect
AWS Elemental MediaConvert
Amazon CodeGuru Reviewer
AWS Elemental MediaPackage
AWS Elemental MediaTailor
Amazon EMR
Amazon EventBridge
Amazon FSx
AWS Glue DataBrew
AWS Glue Studio
AWS IoT SiteWise
Amazon Kendra
AWS Launch Wizard
Amazon Lookout for Metrics
Amazon Managed Streaming for Apache Kafka (Amazon MSK)
Amazon Managed Workflows for Apache Airflow (Amazon MWAA)
AWS Migration Hub
AWS OpsWorks for Chef Automate
Amazon Relational Database Service (Amazon RDS)
Amazon Redshift
Amazon Redshift Query Editor v2
Amazon SageMaker
AWS Toolkit for JetBrains
AWS Transfer Family