Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de AWS Proveedor de credenciales de carga de trabajo
Cómo el AWS Funciona el proveedor de credenciales de carga de trabajo
El proveedor de credenciales de AWS carga de trabajo (anteriormente denominado AWS Secrets Manager Agente) proporciona un servicio HTTP del lado del cliente que le ayuda a estandarizar la forma en que consume los secretos de Secrets Manager en sus entornos informáticos. Puede utilizarlo con los siguientes servicios:
-
AWS Lambda
-
Amazon Elastic Container Service
-
Amazon Elastic Kubernetes Service
-
Amazon Elastic Compute Cloud
El proveedor AWS de credenciales de carga de trabajo recupera y almacena en caché los secretos en la memoria, lo que permite a sus aplicaciones obtener los secretos de localhost en lugar de realizar llamadas directas a Secrets Manager. El proveedor AWS de credenciales de Workload solo puede leer los secretos, no puede modificarlos.
El proveedor de credenciales AWS de carga de trabajo es de código abierto. El código fuente, las instrucciones de instalación y la información sobre la versión más reciente están disponibles en GitHub
importante
El proveedor AWS de credenciales de carga de trabajo utiliza las AWS credenciales de su entorno para llamar a Secrets Manager. Incluye protección contra la falsificación de solicitudes del lado del servidor (SSRF) para ayudar a mejorar la seguridad del secreto. De forma predeterminada, el proveedor de credenciales de AWS Workload utiliza el intercambio de ML-KEM claves poscuántico como el intercambio de claves de mayor prioridad.
Descripción AWS Almacenamiento en caché del proveedor de credenciales de carga de trabajo
El proveedor AWS de credenciales de carga de trabajo utiliza una caché en memoria que se restablece cuando se reinicia el proveedor de credenciales de AWS carga de trabajo. Regularmente, actualiza los valores de secretos almacenados en caché según lo siguiente:
-
La frecuencia de actualización predeterminada (TTL) es de 300 segundos
-
Se puede modificar TTL mediante un archivo de configuración
-
La actualización se produce cuando se solicita un secreto después de que TTL caduque
nota
El proveedor de credenciales AWS de carga de trabajo no incluye la invalidación de la caché. Si un secreto rota antes de que caduque la entrada de la caché, el proveedor de credenciales de AWS carga de trabajo podría devolver un valor secreto obsoleto.
El proveedor AWS de credenciales de carga de trabajo devuelve valores secretos en el mismo formato que la respuesta de. GetSecretValue Los valores de secretos no se cifran en caché.
Temas
Cree el AWS Proveedor de credenciales de carga de trabajo
Antes de comenzar, asegúrese de tener instaladas las herramientas de desarrollo estándar y las herramientas de Rust en la plataforma.
nota
La creación del proveedor con la fips función habilitada en macOS requiere actualmente la siguiente solución alternativa:
-
Cree una variable de entorno llamada
SDKROOTque se establezca según el resultado de la ejecución dexcrun --show-sdk-path
Instala la AWS Proveedor de credenciales de carga de trabajo
Elija su entorno informático entre las siguientes opciones de instalación.
Recupera los secretos con AWS Proveedor de credenciales de carga de trabajo
Para recuperar un secreto, llame al punto final local del proveedor de credenciales de AWS carga de trabajo con el nombre del secreto o el ARN como parámetro de consulta. De forma predeterminada, el proveedor AWS de credenciales de carga de trabajo recupera la AWSCURRENT versión del secreto. Para recuperar una versión diferente, utilice el parámetro versionStage o versionId.
importante
Para ayudar a proteger al proveedor de credenciales de AWS carga de trabajo, debe incluir un encabezado de token SSRF como parte de cada solicitud:. X-Aws-Parameters-Secrets-Token El proveedor AWS de credenciales de carga de trabajo rechaza las solicitudes que no tienen este encabezado o que tienen un token SSRF no válido. Puede personalizar el nombre del encabezado de SSRF en Configure el AWS Proveedor de credenciales de carga de trabajo.
Permisos necesarios
El proveedor AWS de credenciales de carga de trabajo usa el AWS SDK para Rust, que usa la cadena de proveedores de AWS credenciales. La identidad de estas credenciales de IAM determina los permisos que tiene el proveedor de credenciales AWS de carga de trabajo para recuperar los secretos.
-
secretsmanager:DescribeSecret -
secretsmanager:GetSecretValue
Para obtener más información sobre los permisos, consulte Referencia de permisos para AWS Secrets Manager.
importante
Una vez introducido el valor secreto en el proveedor de credenciales de AWS carga de trabajo, cualquier usuario con acceso al entorno informático y al token SSRF podrá acceder al secreto desde la memoria caché del proveedor de credenciales de AWS carga de trabajo. Para obtener más información, consulte Consideraciones de seguridad.
Solicitudes de ejemplo
Descripción del parámetro RefreshNow
El proveedor AWS de credenciales de carga de trabajo utiliza una caché en memoria para almacenar valores secretos, que actualiza periódicamente. Por defecto, esta actualización se produce cuando se solicita un secreto una vez transcurrido el tiempo de vida (TTL), normalmente cada 300 segundos. Sin embargo, este enfoque a veces puede dar como resultado valores de secretos obsoletos, especialmente si un secreto rota antes de que caduque la entrada del caché.
Para solucionar esta limitación, el proveedor de credenciales AWS de carga de trabajo admite un parámetro llamado refreshNow en la URL. Puede utilizar este parámetro para forzar una actualización inmediata del valor de un secreto, al omitir el caché y asegurándose de disponer de la información más actualizada.
- Comportamiento predeterminado (sin
refreshNow) -
-
Utiliza valores en caché hasta que caduque el TTL
-
Actualiza los secretos solo después del TTL (por defecto, 300 segundos)
-
Puede devolver valores obsoletos si los secretos rotan antes de que caduque la caché
-
- Comportamientos de
refreshNow=true -
-
Omite la memoria caché por completo
-
Recupera el último valor secreto directamente de Secrets Manager
-
Actualiza la caché con el valor nuevo y restablece el TTL
-
Garantiza que siempre se obtendrá el valor secreto más actualizado
-
Force-refresh un valor secreto
importante
El valor predeterminado de refreshNow es false. Cuando se establece entrue, anula el TTL especificado en el archivo de configuración del proveedor de credenciales de AWS carga de trabajo y realiza una llamada de API a Secrets Manager.
Recupera los secretos de las cuentas mediante el encadenamiento de roles
El encadenamiento de roles permite al proveedor de credenciales AWS de carga de trabajo recuperar datos secretos de otras AWS cuentas asumiendo que los roles de IAM los utilizan.AWS STSAssumeRole El proveedor AWS de credenciales de carga de trabajo crea y almacena en caché un cliente de almacenamiento en caché independiente para cada ARN de rol único. Cada cliente de rol mantiene su propia caché independiente, por lo que el mismo secreto obtenido con diferentes roles tiene entradas de caché independientes.
Permisos necesarios
Para utilizar el encadenamiento de roles, necesita lo siguiente:
-
Las credenciales AWS de entorno del proveedor de credenciales de carga de trabajo deben tener
sts:AssumeRolepermiso en el ARN del rol de destino. -
El rol de destino debe tener los secretos a los que desea acceder
secretsmanager:GetSecretValuey lossecretsmanager:DescribeSecretpermisos correspondientes. -
La política de confianza del rol de destino debe permitir que la identidad del proveedor de credenciales de AWS carga de trabajo la asuma.
Recupera los secretos de varias cuentas
Incluya el parámetro de roleArn consulta en su solicitud al proveedor de credenciales de AWS carga de trabajo para especificar qué función debe asumir para la recuperación del secreto.
Configuración y límites del encadenamiento de roles
Configure el encadenamiento de roles con la max_roles opción del archivo de configuración de TOML. Esto establece el número máximo de roles asumidos simultáneamente, en el rango de 1 a 20. El valor predeterminado es 20.
importante
Los roles asumidos no se eliminan de la caché de roles del proveedor de credenciales de AWS carga de trabajo. Una vez alcanzado el número máximo de funciones, las solicitudes con nuevos ARN de función se rechazan con un 400 error hasta que se reinicia el proveedor de credenciales de AWS carga de trabajo.
Respuestas de error relacionadas con el encadenamiento de roles
400-
El
roleArnformato no es válido o se ha alcanzado el número máximo de roles asumidos. 403-
La llamada a AWS STS
AssumeRoleno se realizó correctamente. Compruebe que la política de confianza del rol de destino permita que la identidad del proveedor de credenciales de AWS carga de trabajo lo asuma.
Pre-fetch secretos al inicio
De forma predeterminada, el proveedor AWS de credenciales de carga de trabajo obtiene los secretos a pedido cuando la aplicación los solicita. Con la recuperación previa, el proveedor de credenciales de AWS carga de trabajo carga los secretos específicos en la memoria caché cuando se inicia, de modo que la aplicación pueda acceder a ellos inmediatamente sin tener que esperar a la primera llamada a la API. Pre-fetching se ejecuta como una tarea en segundo plano: el proveedor de credenciales AWS de carga de trabajo comienza a aceptar solicitudes de forma inmediata y no las bloquea una vez finalizada la recuperación previa.
Puede especificar los secretos que desea recuperar previamente de dos maneras:
-
Secretos explícitos: enumere los ARN o ID secretos específicos.
-
Tag-based descubrimiento: descubra los secretos mediante una clave de etiqueta. El proveedor AWS de credenciales de carga de trabajo busca todos los secretos que tienen la etiqueta especificada.
Permisos necesarios
Además de los permisos estándar para recuperar datos secretos, la recuperación previa requiere lo siguiente:
-
secretsmanager:BatchGetSecretValue— Necesario para todas las operaciones de captura previa. -
secretsmanager:ListSecrets— Necesario solo cuando se utiliza la detección basada en etiquetas.
Configurar la captura previa
Añada una [capabilities.secrets_manager.prefetch] sección al archivo de configuración de TOML. Están disponibles las siguientes opciones:
cache_buffer_ratio-
La fracción máxima de la memoria caché que se debe llenar por cliente durante la captura previa, en el rango de 0,1 a 1,0. El valor predeterminado es 0.8. Cuando se alcanza el límite de búfer, el proveedor de credenciales de AWS carga de trabajo deja de recuperar previamente los secretos restantes; no desaloja las entradas de caché existentes. Los secretos que no se cargaron durante la captura previa siguen estando disponibles bajo demanda.
max_jitter_seconds-
Un retraso aleatorio de segundos antes de que comience la captura previa, en el rango de 0 a 10. El valor predeterminado es 0. Úselo para evitar que se sincronicen las llamadas a la API de toda la flota cuando se inician varios proveedores al mismo tiempo.
ejemplo Pre-fetch configuración con secretos explícitos
[capabilities.secrets_manager.prefetch] cache_buffer_ratio = 0.6 max_jitter_seconds = 5 secrets = [ { secret_id = "arn:aws:secretsmanager:us-west-2:123456789012:secret:MySecret-AbCdEf" }, { secret_id = "MyOtherSecret" }, ]
ejemplo Pre-fetch configuración con detección basada en etiquetas
[capabilities.secrets_manager.prefetch] cache_buffer_ratio = 0.8 filter_tags = [ { key = "Environment" }, { key = "Team" }, ]
También puede combinar secretos explícitos y detección basada en etiquetas en la misma configuración. Para la búsqueda previa entre cuentas, añada el campo. role_arn Para obtener más información, consulte Recupera los secretos de las cuentas mediante el encadenamiento de roles.
ejemplo Pre-fetch configuración con acceso multicuenta
[capabilities.secrets_manager.prefetch] cache_buffer_ratio = 0.6 max_jitter_seconds = 5 secrets = [ { secret_id = "arn:aws:secretsmanager:us-west-2:123456789012:secret:MySecret-AbCdEf" }, { secret_id = "cross-account-secret", role_arn = "arn:aws:iam::987654321098:role/SecretAccessRole" }, ] filter_tags = [ { key = "Environment" }, { key = "Team", role_arn = "arn:aws:iam::987654321098:role/SecretAccessRole" }, ]
Configure el AWS Proveedor de credenciales de carga de trabajo
Para cambiar la configuración del proveedor de credenciales de AWS carga de trabajo, cree un archivo de configuración TOML./aws-workload-credentials-provider sm
start --config config.toml.
El archivo de configuración admite un formato anidado. Las opciones de Secrets Manager se encuentran debajo[capabilities.secrets_manager], con subsecciones para la configuración de caché y seguridad. Las opciones de registro se encuentran debajo[logging].
ejemplo Ejemplo de archivo de configuración anidado
[logging] log_level = "INFO" log_to_file = true [capabilities.secrets_manager] enabled = true http_port = 2773 region = "us-east-1" path_prefix = "/v1/" max_conn = 800 max_roles = 20 [capabilities.secrets_manager.cache] ttl_seconds = 300 cache_size = 1000 [capabilities.secrets_manager.security] ssrf_headers = ["X-Aws-Parameters-Secrets-Token", "X-Vault-Token"] ssrf_env_variables = ["AWS_TOKEN", "AWS_SESSION_TOKEN", "AWS_CONTAINER_AUTHORIZATION_TOKEN"]
nota
Las teclas planas en el nivel raíz (por ejemplohttp_port = 2773) siguen siendo compatibles con versiones anteriores de los archivos de configuración existentes.
Opciones de configuración de Secrets Manager
enabled-
Si la función Secrets Manager está activa:
trueofalse. El valor predeterminado estrue. http_port-
El puerto del servidor HTTP local, en el rango de 1024 a 65 535. El valor predeterminado es 2773.
region-
La AWS región que se utilizará para las solicitudes. Si no se especifica ninguna región, el proveedor de credenciales de AWS carga de trabajo determina la región a partir del SDK. Para obtener más información, consulte Especifique las credenciales y regiones predeterminadas en la Guía para desarrolladores del SDK de AWS para Rust.
path_prefix-
El prefijo URI que se utiliza para determinar si la solicitud es una solicitud basada en una ruta. El valor predeterminado es “/v1/”.
max_conn-
El número máximo de conexiones desde clientes HTTP que permite el proveedor de credenciales de AWS carga de trabajo, entre 1 y 1000. El valor predeterminado es 800.
max_roles-
El número máximo de funciones de IAM simultáneas para el acceso entre cuentas, en el intervalo de 1 a 20. El valor predeterminado es 20. Para obtener más información, consulte Recupera los secretos de las cuentas mediante el encadenamiento de roles.
Opciones de caché ([capabilities.secrets_manager.cache])
ttl_seconds-
El TTL en segundos de los elementos almacenados en caché, en el rango de 0 a 3600. El valor predeterminado es 300, donde 0 indica que no hay almacenamiento en caché.
cache_size-
El número máximo de secretos que se pueden almacenar en caché está en el rango de 1 a 1000. El valor predeterminado es 1000.
Opciones de seguridad ([capabilities.secrets_manager.security])
ssrf_headers-
Una lista de nombres de encabezados que el proveedor de credenciales de carga de trabajo comprueba para el token de la SSRF AWS. El valor predeterminado es "X-Aws-Parameters-Secrets-Token, X-Vault-Token».
ssrf_env_variables-
Una lista de nombres de variables de entorno que el proveedor AWS de credenciales de carga de trabajo comprueba en orden secuencial para encontrar el token SSRF. La variable de entorno puede contener el token o una referencia al archivo del token, como en:
AWS_TOKEN=file:///var/run/awssmatoken. El valor predeterminado es "AWS_TOKEN, AWS_SESSION_TOKEN, AWS_CONTAINER_AUTHORIZATION_TOKEN».
Opciones de registro ([registro])
log_level-
El nivel de detalle indicado en los registros del proveedor de credenciales de AWS carga de trabajo: DEBUG, INFO, WARN, ERROR o NONE. El valor predeterminado es INFO.
log_to_file-
Si desea iniciar sesión en un archivo o stdout/stderr:
trueofalse. El valor predeterminado estrue.
Características opcionales
El proveedor AWS de credenciales de carga de trabajo se puede crear con funciones opcionales pasando la --features bandera acargo build. Las características disponibles son las siguientes:
Características de compilación
prefer-post-quantum-
Crea
X25519MLKEM768como el algoritmo de intercambio de claves de mayor prioridad. De lo contrario, está disponible, pero no es de máxima prioridad.X25519MLKEM768es un algoritmo híbrido de intercambio de claves con seguridad poscuántica. fips-
Limita los conjuntos de cifrado utilizados por el proveedor únicamente FIPS-approved a cifrados.
Registro
- Registro local
-
El proveedor AWS de credenciales de carga de trabajo registra los errores de forma local en el archivo
logs/secrets_manager_provider.logo en stdout/stderr función de la variable delog_to_fileconfiguración. Cuando la aplicación llama al proveedor de credenciales de AWS carga de trabajo para obtener un secreto, esas llamadas aparecen en el registro local. No aparecen en los CloudTrail registros. - Rotación de registros
-
El proveedor de credenciales de AWS carga de trabajo crea un nuevo archivo de registro cuando el archivo alcanza los 10 MB y almacena hasta cinco archivos de registro en total.
- AWS registro de servicios
-
El registro no va a Secrets Manager, CloudTrail, o CloudWatch. Las solicitudes para obtener datos secretos del proveedor de credenciales de AWS carga de trabajo no aparecen en esos registros. Cuando el proveedor de credenciales de AWS carga de trabajo llama a Secrets Manager para obtener un secreto, esa llamada se graba CloudTrail con una cadena de agente de usuario que contiene
aws-workload-credentials-provider.
Puede configurar las opciones del registro en Configure el AWS Proveedor de credenciales de carga de trabajo.
Consideraciones de seguridad
- Dominio de confianza
-
En el caso de una arquitectura de proveedor local, el dominio de confianza es el lugar donde se puede acceder al punto final del proveedor y al token SSRF, que suele ser todo el host. El dominio de confianza del proveedor de credenciales de AWS carga de trabajo debe coincidir con el dominio en el que están disponibles las credenciales de Secrets Manager para mantener la misma postura de seguridad. Por ejemplo, en Amazon EC2, el dominio de confianza del proveedor de credenciales de AWS carga de trabajo sería el mismo que el dominio de las credenciales cuando se utilizan funciones para Amazon EC2.
importante
Las aplicaciones preocupadas por la seguridad que aún no utilizan una solución basada en un proveedor con las credenciales de Secrets Manager bloqueadas en la aplicación deberían considerar la posibilidad de utilizar los AWS SDK o las soluciones de almacenamiento en caché específicos del idioma. Para obtener más información, consulte Obtener secretos.