Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Secrets Manager mejores prácticas
Secrets Manager proporciona un número de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no suponen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, plantéeselas como consideraciones útiles en lugar de como normas.
Tenga en cuenta las siguientes prácticas recomendadas para almacenar y administrar secretos:
- Guarde las credenciales y otra información confidencial en AWS Secrets Manager
- Encontrar secretos sin protección en su código
- Elija una clave de cifrado para su secreto
- Utilice el almacenamiento en caché para recuperar los secretos
- Rotar sus secretos de
- Mitigar los riesgos del uso de la CLI
- Limitar el acceso a los secretos
- Replicar secretos
- Monitorear secretos
- Ejecute su infraestructura en redes privadas
Guarde las credenciales y otra información confidencial en AWS Secrets Manager
Secrets Manager puede ayudarle a mejorar su posición de seguridad y el cumplimiento, y reducir el riesgo de acceso no autorizado a su información confidencial. Secrets Manager cifra los secretos en reposo mediante claves de cifrado que usted posee y almacena en AWS Key Management Service (AWS KMS). Al recuperar un secreto, Secrets Manager lo descifra y lo transmite de forma segura a través de TLS a su entorno local. Para obtener más información, consulte Crea un AWS Secrets Manager secreto.
Encontrar secretos sin protección en su código
CodeGuru Reviewer se integra con Secrets Manager para usar un detector de secretos que encuentra secretos desprotegidos en el código. El detector de secretos busca contraseñas codificadas, cadenas de conexión a bases de datos, nombres de usuario y mucho más. Para obtener más información, consulte Encuentre secretos sin protección en su código con el Revisor de Amazon CodeGuru.
Amazon Q puede escanear su base de código en busca de vulnerabilidades de seguridad y problemas de calidad del código para mejorar el estado de sus aplicaciones a lo largo del ciclo de desarrollo. Para obtener más información, consulte Escaneo del código con Amazon Q en la Guía del usuario de Amazon Q Developer.
Elija una clave de cifrado para su secreto
En la mayoría de los casos, recomendamos usar la clave aws/secretsmanager AWS administrada para cifrar los secretos. No se aplica ningún cargo por su uso.
Para poder acceder a un secreto desde otra cuenta o aplicar una política de claves a la clave de cifrado, utilice una clave administrada por el cliente para cifrar el secreto.
-
En la política de claves, asigne el valor
secretsmanager.<region>.amazonaws.com.rproxy.goskope.coma la clave de ViaService condición kms:. Esto limita el uso de la clave solo a las solicitudes de Secrets Manager. -
Para limitar aún más el uso de la clave solo a las solicitudes de Secrets Manager con el contexto correcto, utilice las claves o valores del contexto de cifrado de Secrets Manager como condición a fin de utilizar la clave de KMS creando lo siguiente:
-
Un operador de condición de cadena en una política de claves o de IAM
-
Una restricción de la concesión en una concesión
-
Para obtener más información, consulte Cifrado y descifrado de secretos en AWS Secrets Manager.
Utilice el almacenamiento en caché para recuperar los secretos
Para utilizar sus secretos de la manera más eficaz, le recomendamos que use uno de los siguientes componentes de almacenamiento en caché de Secrets Manager compatibles para almacenar en caché sus secretos y actualizarlos solo cuando sea necesario:
AWS Secrets Manager Secretos de uso en Amazon Elastic Kubernetes Service
Úselo AWS Secrets Manager Agente para estandarizar el consumo de información confidencial de Secrets Manager en entornos como AWS Lambda Amazon Elastic Container Service, Amazon Elastic Kubernetes Service y Amazon Elastic Compute Cloud.
Rotar sus secretos de
Si no cambia sus secretos durante un largo período de tiempo, los secretos se vuelven más propensos a ser comprometidos. Con Secrets Manager, puede configurar la rotación automática con una frecuencia máxima de cuatro horas. Secrets Manager ofrece dos estrategias de rotación: Un solo usuario y Usuarios alternativos. Para obtener más información, consulte Rotar secretos de AWS Secrets Manager.
Mitigar los riesgos del uso de la CLI
Cuando se utiliza AWS CLI para invocar AWS operaciones, se introducen esos comandos en una consola de comandos. La mayoría de los intérpretes de comandos ofrecen características que podrían comprometer sus secretos, como el registro y la posibilidad de ver el último comando introducido. Antes de utilizar la AWS CLI para introducir información confidencial, asegúrese de Mitigue los riesgos de AWS CLI utilizarlos para almacenar sus AWS Secrets Manager secretos.
Limitar el acceso a los secretos
En las declaraciones de política de IAM que controlan el acceso a sus secretos, utilice el principio de acceso de privilegio mínimo. Puede utilizar los roles y políticas de IAM, las políticas de recursos y el control de acceso basado en atributos (ABAC). Para obtener más información, consulte Autenticación y control de acceso para AWS Secrets Manager.
Temas
Bloquear el acceso amplio a los secretos
En las políticas de identidad que permiten la acción PutResourcePolicy, le recomendamos que utilice BlockPublicPolicy: true. Esta condición significa que los usuarios solo pueden adjuntar una política de recursos a un secreto si la política no permite un acceso amplio.
Secrets Manager utiliza el razonamiento automatizado de Zelkova para analizar las políticas de recursos para un acceso amplio. Para obtener más información sobre Zelkova, consulte Cómo utilizar el AWS razonamiento automatizado para ayudarle a lograr una seguridad a gran escala en
En el siguiente ejemplo se muestra cómo utilizar BlockPublicPolicy.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "secretsmanager:PutResourcePolicy", "Resource": "SecretId", "Condition": { "Bool": { "secretsmanager:BlockPublicPolicy": "true" } } } }
Tener cuidado con las condiciones de dirección IP en las políticas
Pero tenga cuidado al especificar los operadores de condición de dirección IP o la clave de condición aws:SourceIp en la misma declaración de política que permite o deniega el acceso a Secrets Manager. Por ejemplo, si adjuntas a un secreto una política que restringe AWS las acciones a las solicitudes del rango de direcciones IP de la red corporativa, tus solicitudes como usuario de IAM que invocan la solicitud de la red corporativa funcionan según lo esperado. Sin embargo, si habilita otros servicios para que accedan al secreto en su nombre, por ejemplo, cuando habilita la rotación con una función Lambda, esa función llama a las operaciones de Secrets Manager desde un espacio AWS de direcciones interno. Las solicitudes afectadas por la política con el filtro de dirección IP generarán un error.
Además, la clave de condición aws:sourceIP es menos efectiva si la solicitud procede de un punto de conexión de VPC de Amazon VPC. Para restringir las solicitudes a un punto de enlace de la VPC específica, utilice Limitar solicitudes con condiciones del punto de conexión de VPC.
Limitar solicitudes con condiciones del punto de conexión de VPC
Para permitir o denegar el acceso a solicitudes procedentes de una VPC o punto de enlace de la VPC particular, utilice aws:SourceVpc para limitar el acceso a las solicitudes procedentes de la VPC especificada o aws:SourceVpce para limitar el acceso a las solicitudes procedentes del punto de enlace de la VPC especificado. Consulte Ejemplo: permisos y VPC.
-
aws:SourceVpclimita el acceso a las solicitudes procedentes de la VPC especificada. -
aws:SourceVpcelimita el acceso a las solicitudes procedentes del punto de conexión de VPC especificado.
Si utiliza estas claves de condición en una declaración de política de recurso que permite o deniega el acceso a los secretos de Secrets Manager, puede denegar el acceso de forma accidental a los servicios que Secrets Manager utiliza para obtener acceso a los secretos en su nombre. Solo algunos AWS servicios se pueden ejecutar con un punto final dentro de la VPC. Si restringe las solicitudes de un secreto a una VPC o un punto de enlace de la VPC, pueden producirse errores si las llamadas a Secrets Manager se realizan desde un servicio que no esté configurado.
Consulte Uso de un AWS Secrets Manager VPC punto final.
Replicar secretos
Secrets Manager puede replicar automáticamente sus datos secretos en varias AWS regiones para cumplir con sus requisitos de resiliencia o recuperación ante desastres. Para obtener más información, consulte Replicar secretos de AWS Secrets Manager en todas las regiones.
Monitorear secretos
Secrets Manager le permite auditar y supervisar los secretos mediante la integración con los servicios de AWS registro, supervisión y notificación. Para obtener más información, consulte:
Ejecute su infraestructura en redes privadas
Recomendamos que ejecute tanto como pueda de su infraestructura en redes privadas que no sean accesibles desde la internet pública. Puede establecer una conexión privada entre su VPC y Secrets Manager mediante la creación de un punto de conexión de VPC de la interfaz. Para obtener más información, consulte Uso de un AWS Secrets Manager VPC punto final.
