SEC02-BP03 Menyimpan dan menggunakan secret secara aman
Untuk identitas tenaga kerja dan mesin yang memerlukan secret, seperti kata sandi ke aplikasi pihak ketiga, simpanlah dengan rotasi otomatis menggunakan standar industri terbaru dalam layanan yang dikhususkan, misalnya untuk kredensial yang tidak terkait dengan IAM dan tidak dapat memanfaatkan kredensial sementara, seperti login basis data, gunakan layanan yang didesain untuk menangani manajemen secret, seperti AWS Secrets Manager. Secrets Manager memudahkan Anda untuk mengelola, merotasi, dan secara aman menyimpan secret menggunakan layanan yang didukung. Panggilan untuk mengakses secret dicatat di dalam AWS CloudTrail untuk tujuan audit, dan izin IAM dapat diberikan kepada hak istimewa terendah untuk mengaksesnya.
Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi
Panduan implementasi
-
Gunakan AWS Secrets Manager: AWS Secrets Manager adalah layanan AWS yang memudahkan Anda mengelola secret. Secret bisa berupa kredensial basis data, kata sandi, kunci API pihak ketiga, dan bahkan teks arbitrer.
Sumber daya
Dokumen terkait:
Video terkait: