Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Secrets Manager bewährte Verfahren
Secrets Manager bietet eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden stellen allgemeine Richtlinien und keine vollständige Sicherheitslösung dar. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.
Beachten Sie die folgenden bewährten Methoden für das Speichern und Verwalten von Geheimnissen:
- Speichern Sie Anmeldeinformationen und andere vertrauliche Informationen in AWS Secrets Manager
- Finden Sie ungeschützte Geheimnisse in Ihrem Code
- Wählen Sie einen Verschlüsselungsschlüssel für Ihr Geheimnis
- Verwenden Sie Caching, um Geheimnisse abzurufen
- Rotieren von -Secrets
- Mindern Sie die Risiken der Verwendung CLI
- Beschränken Sie den Zugriff auf Geheimnisse
- Geheimnisse replizieren
- Überwachung von Geheimnissen
- Betreiben Sie Ihre Infrastruktur in privaten Netzwerken
Speichern Sie Anmeldeinformationen und andere vertrauliche Informationen in AWS Secrets Manager
Secrets Manager kann Ihnen dabei helfen, Ihre Sicherheitslage und Compliance zu verbessern und das Risiko eines unbefugten Zugriffs auf Ihre vertraulichen Informationen zu verringern. Secrets Manager verschlüsselt ruhende Geheimnisse mithilfe von Verschlüsselungsschlüsseln, die Sie besitzen und in AWS Key Management Service (AWS KMS) speichern. Wenn Sie ein Geheimnis abrufen, entschlüsselt Secrets Manager das Geheimnis und überträgt es sicher TLS an Ihre lokale Umgebung. Weitere Informationen finden Sie unter Erstelle eine AWS Secrets Manager Secret.
Finden Sie ungeschützte Geheimnisse in Ihrem Code
CodeGuru Reviewer ist in Secrets Manager integriert, um einen Geheimnisdetektor zu verwenden, der ungeschützte Geheimnisse in Ihrem Code findet. Der Secrets Detector sucht nach fest codierten Passwörtern, Datenbankverbindungszeichenfolgen, Benutzernamen und mehr. Weitere Informationen finden Sie unter Mit Amazon CodeGuru Reviewer ungeschützte Secrets in Ihrem Code finden.
Amazon Q kann Ihre Codebasis auf Sicherheitslücken und Probleme mit der Codequalität scannen, um den Status Ihrer Anwendungen während des gesamten Entwicklungszyklus zu verbessern. Weitere Informationen finden Sie unter Scannen Ihres Codes mit Amazon Q im Amazon Q Developer User Guide.
Wählen Sie einen Verschlüsselungsschlüssel für Ihr Geheimnis
In den meisten Fällen empfehlen wir, den aws/secretsmanager AWS verwalteten Schlüssel zum Verschlüsseln von Geheimnissen zu verwenden. Für die Nutzung fallen keine Kosten an.
Um von einem anderen Konto aus auf ein Geheimnis zugreifen oder eine Schlüsselrichtlinie auf den Verschlüsselungsschlüssel anwenden zu können, verwenden Sie einen vom Kunden verwalteten Schlüssel, um das Geheimnis zu verschlüsseln.
-
Weisen Sie in der Schlüsselrichtlinie dem ViaService Bedingungsschlüssel kms: den Wert
secretsmanager.<region>.amazonaws.com.rproxy.goskope.comzu. Dadurch wird die Verwendung des Schlüssels auf Anfragen von Secrets Manager beschränkt. -
Um die Verwendung des Schlüssels weiter auf Anfragen von Secrets Manager mit dem richtigen Kontext zu beschränken, verwenden Sie Schlüssel oder Werte im Secrets Manager Manager-Verschlüsselungskontext als Bedingung für die Verwendung des KMS Schlüssels, indem Sie Folgendes erstellen:
-
Ein String-Bedingungsoperator in einer IAM Richtlinie oder Schlüsselrichtlinie
-
Eine Vergabeeinschränkung in einer Vergabe
-
Weitere Informationen finden Sie unter Geheime Verschlüsselung und Entschlüsselung in AWS Secrets Manager.
Verwenden Sie Caching, um Geheimnisse abzurufen
Um Ihre Secrets am effizientesten zu nutzen, empfehlen wir Ihnen, eine der folgenden unterstützten Secrets Manager Manager-Caching-Komponenten zu verwenden, um Ihre Secrets zwischenzuspeichern und sie nur bei Bedarf zu aktualisieren:
Verwenden Sie AWS Secrets Manager Geheimnisse in AWS Lambda Funktionen
Verwenden Sie AWS Secrets Manager Geheimnisse in Amazon Elastic Kubernetes Service
Wird verwendetAWS Secrets Manager Kundendienstmitarbeiter, um die Verwendung von Secrets Manager in Umgebungen wie Amazon Elastic Container Service AWS Lambda, Amazon Elastic Kubernetes Service und Amazon Elastic Compute Cloud zu standardisieren.
Rotieren von -Secrets
Wenn Sie Secrets für lange Zeit nicht ändern, steigt die Wahrscheinlichkeit ihrer Kompromittierung. Mit Secrets Manager können Sie die automatische Rotation bis zu alle vier Stunden einrichten. Secrets Manager bietet zwei Strategien für die Rotation: Einzelbenutzer undWechselnde Benutzer. Weitere Informationen finden Sie unter Drehen AWS Secrets Manager Secrets.
Mindern Sie die Risiken der Verwendung CLI
Wenn Sie die AWS CLI zum Aufrufen von AWS Operationen verwenden, geben Sie diese Befehle in einer Befehlsshell ein. Die meisten Befehlsshells bieten Funktionen, die Ihre Geheimnisse gefährden könnten, wie z. B. die Protokollierung und die Möglichkeit, den zuletzt eingegebenen Befehl zu sehen. Bevor Sie den AWS CLI zur Eingabe vertraulicher Informationen verwenden, sollten Sie dies unbedingt tunReduzieren Sie die Risiken, die mit der Verwendung von AWS CLI zur Aufbewahrung Ihrer AWS Secrets Manager Geheimnisse verbunden sind.
Beschränken Sie den Zugriff auf Geheimnisse
Verwenden Sie in IAM Richtlinienerklärungen, die den Zugriff auf Ihre Geheimnisse kontrollieren, das Prinzip des geringsten Zugriffs. Sie können IAMRollen und Richtlinien, Ressourcenrichtlinien und die attributbasierte Zugriffskontrolle () verwenden. ABAC Weitere Informationen finden Sie unter Authentifizierung und Zugriffskontrolle für AWS Secrets Manager.
Themen
Blockieren Sie den umfassenden Zugriff auf geheime Daten
In Identitätsrichtlinien, welche die Aktion PutResourcePolicy zulassen, empfehlen wir BlockPublicPolicy: true zu verwenden. Diese Bedingung bedeutet, dass Benutzer eine Ressourcenrichtlinie nur an ein Geheimnis anhängen können, wenn die Richtlinie keinen breiten Zugriff zulässt.
Secrets Manager verwendet das Automated Reasoning Zelkova zur Analyse von Ressourcenrichtlinien für den breiten Zugriff. Weitere Informationen zu Zelkova finden Sie im Sicherheits-Blog AWS unter So hilft Ihnen automatisiertes Denken dabei, Sicherheit im großen Maßstab zu erreichen
Im folgenden Beispiel wird gezeigt, wie BlockPublicPolicy verwendet wird.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "secretsmanager:PutResourcePolicy", "Resource": "SecretId", "Condition": { "Bool": { "secretsmanager:BlockPublicPolicy": "true" } } } }
Seien Sie vorsichtig mit IP-Adressbedingungen in Richtlinien
Bei Angabe der Bedingungsoperatoren für IP-Adressen oder des aws:SourceIp-Bedingungsschlüssels in einer Richtlinienanweisung, die den Zugriff auf Secrets Manager zulässt oder verweigert, ist Vorsicht geboten. Wenn Sie beispielsweise eine Richtlinie anhängen, die AWS Aktionen auf Anfragen aus dem IP-Adressbereich Ihres Unternehmensnetzwerks auf ein Geheimnis beschränkt, funktionieren Ihre Anfragen als IAM Benutzer, der die Anfrage vom Unternehmensnetzwerk aus aufruft, erwartungsgemäß. Wenn Sie jedoch anderen Diensten ermöglichen, in Ihrem Namen auf das Geheimnis zuzugreifen, z. B. wenn Sie die Rotation mit einer Lambda-Funktion aktivieren, ruft diese Funktion die Secrets Manager Manager-Operationen von einem AWS-internen Adressraum aus auf. Anfragen, die von der Richtlinie mit dem IP-Adressfilter betroffen sind, schlagen fehl.
Außerdem ist der aws:sourceIP Bedingungsschlüssel weniger effektiv, wenn die Anfrage von einem VPC Amazon-Endpunkt kommt. Um Anfragen auf einen bestimmten VPC Endpunkt zu beschränken, verwenden SieBeschränken Sie Anfragen mit VPC Endpunktbedingungen.
Beschränken Sie Anfragen mit VPC Endpunktbedingungen
Um den Zugriff auf Anfragen von einem bestimmten VPC Endpunkt zuzulassen VPC oder aws:SourceVpc zu verweigern, verwenden Sie diese Option, um den Zugriff auf Anfragen vom angegebenen Endpunkt VPC oder aws:SourceVpce den Zugriff auf Anfragen vom angegebenen VPC Endpunkt zu beschränken. Siehe Beispiel: Berechtigungen und VPCs.
-
aws:SourceVpcschränkt den Zugriff auf Anfragen vom angegebenen Server einVPC. -
aws:SourceVpceschränkt den Zugriff auf Anfragen vom angegebenen VPC Endpunkt ein.
Wenn Sie diese Bedingungsschlüssel in einer Ressourcen-Richtlinienanweisung verwenden, die Zugriff auf Secrets-Manager-Secrets zulässt oder verweigert, verweigern Sie möglicherweise versehentlich den Zugriff auf Services, die Secrets Manager verwenden, um für Sie auf Secrets zuzugreifen. Nur einige AWS Dienste können mit einem Endpunkt in Ihrem ausgeführt VPC werden. Wenn Sie Anfragen für ein Geheimnis auf einen VPC VPC OR-Endpunkt beschränken, können Aufrufe von Secrets Manager von einem Dienst, der nicht für den Dienst konfiguriert ist, fehlschlagen.
Siehe Einen AWS Secrets Manager VPC Endpunkt verwenden.
Geheimnisse replizieren
Secrets Manager kann Ihre Secrets automatisch in mehrere AWS Regionen replizieren, um Ihre Anforderungen an Ausfallsicherheit oder Notfallwiederherstellung zu erfüllen. Weitere Informationen finden Sie unter Replizieren Sie AWS Secrets Manager Geheimnisse in allen Regionen.
Überwachung von Geheimnissen
Secrets Manager ermöglicht Ihnen die Prüfung und Überwachung von Geheimnissen durch die Integration mit AWS Protokollierungs-, Überwachungs- und Benachrichtigungsdiensten. Weitere Informationen finden Sie unter:
Betreiben Sie Ihre Infrastruktur in privaten Netzwerken
Wir empfehlen, einen Großteil der Infrastruktur in privaten Netzwerken auszuführen, die vom öffentlichen Internet aus nicht zugänglich sind, sofern dies möglich ist. Sie können eine private Verbindung zwischen Ihnen VPC und Secrets Manager herstellen, indem Sie einen VPCSchnittstellenendpunkt erstellen. Weitere Informationen finden Sie unter Einen AWS Secrets Manager VPC Endpunkt verwenden.
