Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prácticas recomendadas de AWS Secrets Manager
Secrets Manager proporciona un número de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no suponen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.
Tenga en cuenta las siguientes prácticas recomendadas para almacenar y administrar secretos:
- Almacenar las credenciales y otra información confidencial en AWS Secrets Manager
- Encontrar secretos sin protección en su código
- Elija una clave de cifrado para su secreto
- Utilice el almacenamiento en caché para recuperar los secretos
- Rotar sus secretos de
- Mitigar los riesgos del uso de la CLI
- Limitar el acceso a los secretos
- Replicar secretos
- Monitorear secretos
- Ejecute su infraestructura en redes privadas
Almacenar las credenciales y otra información confidencial en AWS Secrets Manager
Secrets Manager puede ayudarle a mejorar su posición de seguridad y el cumplimiento, y reducir el riesgo de acceso no autorizado a su información confidencial. Secrets Manager cifra los secretos en reposo mediante claves de cifrado que usted posee y almacena en AWS Key Management Service (AWS KMS). Al recuperar un secreto, Secrets Manager lo descifra y lo transmite de forma segura a través de TLS a su entorno local. Para obtener más información, consulte Creación de un secreto de AWS Secrets Manager.
Encontrar secretos sin protección en su código
El Revisor CodeGuru se integra con Secrets Manager para usar un detector de secretos que busca secretos sin protección en su código. El detector de secretos busca contraseñas codificadas, cadenas de conexión a bases de datos, nombres de usuario y mucho más. Para obtener más información, consulte Encuentre secretos sin protección en su código con el Revisor de Amazon CodeGuru.
Amazon Q puede escanear su base de código en busca de vulnerabilidades de seguridad y problemas de calidad del código para mejorar el estado de sus aplicaciones a lo largo del ciclo de desarrollo. Para obtener más información, consulte Escaneo del código con Amazon Q en la Guía del usuario de Amazon Q Developer.
Elija una clave de cifrado para su secreto
En la mayoría de los casos, recomendamos usar la clave aws/secretsmanager administrada por AWS para cifrar los secretos. No se aplica ningún cargo por su uso.
Para poder acceder a un secreto desde otra cuenta o aplicar una política de claves a la clave de cifrado, utilice una clave administrada por el cliente para cifrar el secreto.
-
En la política de claves, asigne el valor
secretsmanager.<region>.amazonaws.com.rproxy.goskope.coma la clave de condición KMS:ViaService. Esto limita el uso de la clave solo a las solicitudes de Secrets Manager. -
Para limitar aún más el uso de la clave solo a las solicitudes de Secrets Manager con el contexto correcto, utilice las claves o valores del contexto de cifrado de Secrets Manager como condición a fin de utilizar la clave de KMS creando lo siguiente:
-
Un operador de condición de cadena en una política de claves o de IAM
-
Una restricción de la concesión en una concesión
-
Para obtener más información, consulte Cifrado y descifrado de secretos en AWS Secrets Manager.
Utilice el almacenamiento en caché para recuperar los secretos
Para utilizar sus secretos de la manera más eficaz, le recomendamos que use uno de los siguientes componentes de almacenamiento en caché de Secrets Manager compatibles para almacenar en caché sus secretos y actualizarlos solo cuando sea necesario:
Uso de secretos de AWS Secrets Manager en las funciones de AWS Lambda
Uso de secretos de AWS Secrets Manager en Amazon Elastic Kubernetes Service
Se utiliza Agente de AWS Secrets Manager para estandarizar el consumo de secretos de Secrets Manager en entornos como AWS Lambda, Amazon Elastic Container Service, Amazon Elastic Kubernetes Service y Amazon Elastic Compute Cloud.
Rotar sus secretos de
Si no cambia sus secretos durante un largo período de tiempo, los secretos se vuelven más propensos a ser comprometidos. Con Secrets Manager, puede configurar la rotación automática con una frecuencia máxima de cuatro horas. Secrets Manager ofrece dos estrategias de rotación: Un solo usuario y Usuarios alternativos. Para obtener más información, consulte Rotar secretos de AWS Secrets Manager.
Mitigar los riesgos del uso de la CLI
Cuando utilice la AWS CLI para invocar las operaciones de AWS, escriba dichos comandos en un intérprete de comandos. La mayoría de los intérpretes de comandos ofrecen características que podrían comprometer sus secretos, como el registro y la posibilidad de ver el último comando introducido. Antes de utilizar la AWS CLI para introducir información confidencial, asegúrese de Reducción de los riesgos de usar AWS CLI para almacenar sus secretos de AWS Secrets Manager.
Limitar el acceso a los secretos
En las declaraciones de política de IAM que controlan el acceso a sus secretos, utilice el principio de acceso de privilegio mínimo. Puede utilizar los roles y políticas de IAM, las políticas de recursos y el control de acceso basado en atributos (ABAC). Para obtener más información, consulte Autenticación y control de acceso de AWS Secrets Manager.
Temas
Bloquear el acceso amplio a los secretos
En las políticas de identidad que permiten la acción PutResourcePolicy, le recomendamos que utilice BlockPublicPolicy: true. Esta condición significa que los usuarios solo pueden adjuntar una política de recursos a un secreto si la política no permite un acceso amplio.
Secrets Manager utiliza el razonamiento automatizado de Zelkova para analizar las políticas de recursos para un acceso amplio. Para obtener más información acerca de Zelkova, consulte De qué manera AWS utiliza el razonamiento automatizado para ayudarlo a alcanzar la la seguridad a escala
En el siguiente ejemplo se muestra cómo utilizar BlockPublicPolicy.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "secretsmanager:PutResourcePolicy", "Resource": "SecretId", "Condition": { "Bool": { "secretsmanager:BlockPublicPolicy": "true" } } } }
Tener cuidado con las condiciones de dirección IP en las políticas
Pero tenga cuidado al especificar los operadores de condición de dirección IP o la clave de condición aws:SourceIp en la misma declaración de política que permite o deniega el acceso a Secrets Manager. Por ejemplo, si adjunta una política que restrinja las acciones de AWS para realizar solicitudes desde rango de direcciones IP de la red corporativa a un secreto, las solicitudes que realice como un usuario de IAM que invoca la solicitud desde la red corporativa funcionarán de la manera prevista. Sin embargo, si habilita otros servicios para obtener acceso al secreto en su nombre, como, por ejemplo, cuando se habilita la rotación con una función de Lambda, dicha función llama a las operaciones de Secrets Manager desde un espacio de direcciones internas de AWS. Las solicitudes afectadas por la política con el filtro de dirección IP generarán un error.
Además, la clave de condición aws:sourceIP es menos efectiva si la solicitud procede de un punto de conexión de VPC de Amazon VPC. Para restringir las solicitudes a un punto de enlace de la VPC específica, utilice Limitar solicitudes con condiciones del punto de conexión de VPC.
Limitar solicitudes con condiciones del punto de conexión de VPC
Para permitir o denegar el acceso a solicitudes procedentes de una VPC o punto de enlace de la VPC particular, utilice aws:SourceVpc para limitar el acceso a las solicitudes procedentes de la VPC especificada o aws:SourceVpce para limitar el acceso a las solicitudes procedentes del punto de enlace de la VPC especificado. Consulte Ejemplo: permisos y VPC.
-
aws:SourceVpclimita el acceso a las solicitudes procedentes de la VPC especificada. -
aws:SourceVpcelimita el acceso a las solicitudes procedentes del punto de conexión de VPC especificado.
Si utiliza estas claves de condición en una declaración de política de recurso que permite o deniega el acceso a los secretos de Secrets Manager, puede denegar el acceso de forma accidental a los servicios que Secrets Manager utiliza para obtener acceso a los secretos en su nombre. Solo algunos servicios de AWS pueden ejecutarse con un punto de enlace dentro de la VPC. Si restringe las solicitudes de un secreto a una VPC o un punto de enlace de la VPC, pueden producirse errores si las llamadas a Secrets Manager se realizan desde un servicio que no esté configurado.
Consulte Uso de un punto de conexión de VPC de AWS Secrets Manager.
Replicar secretos
Secrets Manager puede replicar automáticamente sus secretos en varias regiones de AWS para cumplir con sus requisitos de resiliencia o recuperación ante desastres. Para obtener más información, consulte Replicar secretos de AWS Secrets Manager en todas las regiones.
Monitorear secretos
Secrets Manager le permite auditar y supervisar los secretos mediante la integración con los servicios de registro, supervisión y notificación de AWS. Para obtener más información, consulte:
Ejecute su infraestructura en redes privadas
Recomendamos que ejecute tanto como pueda de su infraestructura en redes privadas que no sean accesibles desde la internet pública. Puede establecer una conexión privada entre su VPC y Secrets Manager mediante la creación de un punto de conexión de VPC de la interfaz. Para obtener más información, consulte Uso de un punto de conexión de VPC de AWS Secrets Manager.
