Crittografia dei dati inattivi Crittografia dei dati in transito Riservatezza del traffico Internet Gestione delle chiavi di crittografia

Protezione dei dati in AWS Secrets Manager

Il modello di responsabilità condivisa di AWS si applica alla protezione dei dati in AWS Secrets Manager. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che esegue tutto l'Cloud AWS. L'utente è responsabile di mantenere il controllo sui contenuti ospitati su questa infrastruttura. Questi contenuti comprendono la configurazione della protezione e le attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le Domande frequenti sulla privacy dei dati. Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al Modello di responsabilità condivisa AWS e GDPR nel Blog sulla sicurezza negli AWS.

Per garantire la protezione dei dati, ti suggeriamo di proteggere le credenziali Account AWS e di configurare singoli account utente con AWS Identity and Access Management (IAM). In questo modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere il suo lavoro. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

Utilizza l'autenticazione a più fattori (MFA) con ogni account.
Utilizza SSL/TLS per comunicare con le risorse AWS. Secrets Manager supporta TLS 1.2 e 1.3 in tutte le Regioni. Secrets Manager supporta anche un'opzione ibrida di scambio di chiavi post-quantistiche per il protocollo di crittografia di rete TLS (PQTLS).
Firma le tue richieste programmatiche utilizzando sia un ID chiave di accesso che una chiave di accesso segreta associate a un'entità principale IAM. In alternativa, è possibile utilizzare AWS Security Token Service (AWS STS) per generare le credenziali di sicurezza temporanee per firmare le richieste.
Configura la registrazione delle API e delle attività degli utenti con AWS CloudTrail. Per informazioni, consultare Registra AWS Secrets Manager eventi con AWS CloudTrail.
Se si richiedono moduli crittografici convalidati FIPS 140-2 quando si accede ad AWS tramite una CLI o un'API, utilizzare un endpoint FIPS. Per informazioni, consultare AWS Secrets Manager endpoint.
Se usi la AWS CLI per accedere a Secrets Manager, fai riferimento a Riduci i rischi derivanti dall'utilizzo di AWS CLI per archiviare i tuoi segreti AWS Secrets Manager.

Crittografia dei dati inattivi

Secrets Manager utilizza la crittografia tramite AWS Key Management Service (AWS KMS) per proteggere la riservatezza dei dati inattivi. AWS KMS fornisce un servizio di crittografia e storage delle chiavi utilizzato da moltiAWS servizi. Ogni segreto in Gestione dei segreti è crittografato con una chiave di dati univoca. Ogni chiave di dati è protetta da una chiave KMS. Puoi scegliere di utilizzare la crittografia predefinita con la Chiave gestita da AWS di Gestione dei segreti per l'account. In alternativa, puoi creare la tua chiave gestita dal cliente in AWS KMS. L'utilizzo di una chiave gestita dal cliente offre controlli di autorizzazione più granulari sulle principali attività del KMS. Per ulteriori informazioni, consulta Crittografia e decrittografia segrete in AWS Secrets Manager.

Crittografia dei dati in transito

Secrets Manager fornisce endpoint sicuri e privati per la crittografia dei dati in transito. Gli endpoint sicuri e privati consentono a AWS di proteggere l'integrità delle richieste API a Secrets Manager. AWS richiede che le chiamate API siano firmate dal chiamante utilizzando i certificati X.509 e/o la relativa chiave di accesso segreta. Questo requisito è indicato nel Processo di firma Signature Version 4 (Sigv4).

Se utilizzi il AWS Command Line Interface (AWS CLI) o una delle AWS SDK per effettuare chiamate a AWS, configuri la chiave di accesso da utilizzare. Quindi questi strumenti utilizzano automaticamente la chiave di accesso per firmare le richieste per te. Per informazioni, consultare Riduci i rischi derivanti dall'utilizzo di AWS CLI per archiviare i tuoi segreti AWS Secrets Manager.

Riservatezza del traffico Internet

AWS offre opzioni per la gestione della privacy durante l'instradamento del traffico attraverso percorsi di rete noti e privati.

Traffico tra servizio e applicazioni e client locali

Sono disponibili due opzioni di connettività tra la rete privata e AWS Secrets Manager:

Una connessione Site-to-Site VPN AWS Per ulteriori informazioni, consulta Che cos'è AWS Site-to-Site VPN?
Una connessione AWS Direct Connect. Per ulteriori informazioni, consulta Che cos'è AWS Direct Connect?

Traffico tra risorse AWS nella stessa Regione

Se intendi proteggere il traffico tra Secrets Manager e i client API in AWS, configura un AWS PrivateLink per accedere privatamente agli endpoint Secret Manager dell'API.

Gestione delle chiavi di crittografia

Quando Secrets Manager deve crittografare una nuova versione dei dati segreti protetti, Secrets Manager invia una richiesta a AWS KMS per generare una nuova chiave di dati dalla chiave KMS. Secrets Manager utilizza questa chiave di dati per la crittografia envelope. Secrets Manager archivia la chiave di dati crittografati con il segreto crittografato. Quando il segreto deve essere decrittografato, Secrets Manager chiede AWS KMS per decrittografare la chiave di dati. Quindi Secrets Manager usa la chiave di dati decrittografata per decrittografare il segreto crittografato. La chiave di dati non viene mai memorizzata in forma non crittografata da Secrets Manager e la chiave viene rimossa dalla memoria il prima possibile. Per ulteriori informazioni, consulta Crittografia e decrittografia segrete in AWS Secrets Manager.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Accesso locale

Crittografia e decrittografia del segreto