Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzalo Gestione dei segreti AWS per la protezione dei dati per i flussi di lavoro C2C

Gestione dei segreti AWS è un servizio di archiviazione segreto che puoi utilizzare per proteggere le credenziali del database, le chiavi API e altre informazioni segrete. Quindi, nel codice, puoi sostituire le credenziali hardcoded con una chiamata API a Secrets Manager. Questo aiuta a garantire che il segreto non possa essere compromesso da qualcuno che esamina il codice, perché il segreto non è presente. Per una panoramica, consulta la Guida per l'utente di Gestione dei segreti AWS.

Secrets Manager crittografa i segreti utilizzando AWS Key Management Service le chiavi. Per ulteriori informazioni consulta la sezione Crittografia e decrittografia dei segreti in AWS Key Management Service.

Integrazioni gestite per AWS IoT Device Management l'integrazione Gestione dei segreti AWS in modo da poter archiviare i dati in Secrets Manager e utilizzare l'ID segreto nelle configurazioni.

In che modo le integrazioni gestite utilizzano i segreti

Open Authorization (OAuth) è uno standard aperto per l'autorizzazione all'accesso delegato, che consente agli utenti di concedere a siti Web o applicazioni l'accesso alle proprie informazioni su altri siti Web senza condividere le proprie password. È un modo sicuro per le applicazioni di terze parti di accedere ai dati degli utenti per conto dell'utente, fornendo un'alternativa più sicura alla condivisione delle password.

In OAuth, un ID client e un client secret sono credenziali che identificano e autenticano un'applicazione client quando richiede un token di accesso.

Integrazioni gestite per consentire OAuth agli AWS IoT Device Management utenti di comunicare con i clienti che utilizzano i flussi di lavoro C2C. I clienti devono fornire l'ID client e il segreto del client per comunicare. I clienti delle integrazioni gestite memorizzeranno un ID cliente e un segreto del cliente nei propri AWS account, mentre le integrazioni gestite leggeranno l'ID cliente e il segreto del cliente nel nostro account cliente.

Come creare un segreto

Per creare un segreto, segui la procedura descritta in Creare un Gestione dei segreti AWS segreto nella Guida per l' Gestione dei segreti AWS utente.

Devi creare il tuo segreto con una AWS KMS chiave gestita dal cliente per consentire alle integrazioni gestite di leggere il valore segreto. Per ulteriori informazioni, consulta Autorizzazioni per la AWS KMS chiave nella Guida per l'utente. Gestione dei segreti AWS

È inoltre necessario utilizzare le politiche IAM nella sezione seguente.

Concedi l'accesso alle integrazioni gestite AWS IoT Device Management per recuperare il segreto

Per consentire alle integrazioni gestite di recuperare il valore segreto da Secrets Manager, includi le seguenti autorizzazioni nella politica delle risorse per il segreto al momento della creazione.

JSON

{
  "Version":"2012-10-17",
  "Statement" : [ {
    "Effect" : "Allow",
    "Principal" : {
      "Service" : "iotmanagedintegrations.amazonaws.com"
    },
    "Action" : [ "secretsmanager:GetSecretValue" ],
    "Resource" : "*" ,
    "Condition": {
        "StringEquals": {
          "aws:SourceArn": "arn:aws:iotmanagedintegrations:AWS Region:account-id:account-association:account-association-id"
        
        }
      }
  } ]
}

Aggiungi la seguente dichiarazione alla politica per la tua chiave gestita dal cliente. AWS KMS

JSON

{
    "Version":"2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Principal": {
                "Service": [
                    "iotmanagedintegrations.amazonaws.com"
                ]
            },
            "Resource": [
            "arn:aws:kms:us-east-1:123456789012:key/*"
            ]
        }

    ]
}