Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo di segreti esterni Gestione dei segreti AWS gestiti per gestire segreti di terze parti
I segreti esterni gestiti sono un nuovo tipo di segreto Gestione dei segreti AWS che consente di archiviare e ruotare automaticamente le credenziali dei partner di integrazione. Questa funzionalità elimina la necessità di creare e gestire AWS Lambda funzioni personalizzate per la rotazione dei segreti dei partner di integrazione. [Per un elenco completo di tutti i partner coinvolti, consulta Integration Partners.](mes-partners.md)
Quando crei applicazioni su di esse AWS, i tuoi carichi di lavoro spesso devono interagire con applicazioni di terze parti tramite credenziali sicure come chiavi API, OAuth token o coppie di credenziali. In precedenza, era necessario sviluppare approcci personalizzati per proteggere e gestire queste credenziali, inclusa la creazione di funzioni Lambda di rotazione complesse che fossero uniche per ogni applicazione e richiedessero una manutenzione continua.
I segreti esterni gestiti forniscono un approccio standardizzato per l'archiviazione delle credenziali di terze parti in un formato predefinito prescritto da ciascun partner. La funzionalità include la rotazione automatica abilitata (per impostazione predefinita sulla console) durante la creazione segreta, la trasparenza completa e il controllo utente per i flussi di lavoro di gestione segreti e il set completo di funzionalità offerto da Secrets Manager, tra cui gestione granulare delle autorizzazioni, osservabilità, governance, conformità, disaster recovery e controlli di monitoraggio.
## Funzionalità principali
I segreti esterni gestiti offrono diverse funzionalità chiave che semplificano la gestione delle credenziali di terze parti:
+ La **rotazione gestita senza lambda** elimina il sovraccarico legato alla creazione e alla gestione di funzioni di rotazione personalizzate. Quando crei un dispositivo esterno, la rotazione viene abilitata automaticamente senza che nel tuo account siano distribuite funzioni Lambda.
+ I **formati segreti predefiniti** assicurano che i segreti possano essere associati correttamente al partner di integrazione e includono i metadati necessari per la rotazione. Ogni partner definisce il formato richiesto.
+ L'**ecosistema di partner integrato** fornisce supporto a più partner attraverso un processo di onboarding standardizzato. I partner si integrano direttamente con Secrets Manager per offrire linee guida programmatiche per la creazione di segreti e le funzionalità di rotazione gestite.
+ **La verificabilità completa mantiene la** piena trasparenza attraverso la AWS CloudTrail registrazione di tutte le attività di rotazione, gli aggiornamenti segreti dei valori e le operazioni di gestione.
# Partner segreti esterni gestiti
Secrets Manager si integra nativamente con applicazioni di terze parti per ruotare i segreti detenuti dal partner. Ogni partner definisce i metadati e i campi con valori segreti necessari per ruotare i segreti.
Il valore segreto contiene i campi necessari per la connessione con il client di terze parti e vengono memorizzati durante la [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)chiamata. I metadati di rotazione contengono i campi utilizzati per aggiornare il segreto durante la rotazione e utilizzati nella [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)chiamata. Questi campi saranno definiti dal partner di integrazione per consentire flussi di rotazione gestiti.
Affinché la rotazione funzioni correttamente, è necessario fornire a Secrets Manager autorizzazioni specifiche per gestire il ciclo di vita segreto. [Per ulteriori informazioni, consulta Sicurezza e autorizzazioni](mes-security.md)
I seguenti argomenti includono una descrizione di ciascuno dei campi di metadati necessari per ruotare il segreto e una descrizione di ciascuno dei campi richiesti nel segreto di Secrets Manager per la rotazione.
**Argomenti**
| Partner di integrazione | Tipo di segreto |
| --- | --- |
| Salesforce | [SalesforceClientSecret](mes-partner-salesforce.md) |
| BigID | [Grande IDClient segreto](mes-partner-BigId.md) |
| Snowflake | [SnowflakeKeyPairAuthentication](mes-partner-Snowflake.md) |
# Segreto del cliente Salesforce
## Campi di valore segreti
Di seguito sono riportati i campi che devono essere contenuti nel segreto di Secrets Manager:
```
{
"consumerKey": "client ID",
"consumerSecret": "client secret",
"baseUri": "https://domain.my.salesforce.com",
"appId": "app ID",
"consumerId": "consumer ID"
}
```
consumerKey
La chiave consumer, nota anche come ID client, è l'identificatore di credenziali per le credenziali 2.0. OAuth È possibile recuperare la chiave consumer direttamente dalle impostazioni di Salesforce External Client App Manager. OAuth
consumerSecret
Il segreto del consumatore, noto anche come segreto del cliente, è la password privata utilizzata con la chiave consumer per l'autenticazione utilizzando il flusso di credenziali del client OAuth 2.0. È possibile recuperare il segreto del consumatore direttamente dalle impostazioni di Salesforce External Client App Manager. OAuth
baseUri
L'URI di base è l'URL di base di Salesforce Org utilizzato per interagire con Salesforce. APIs Questo assume la forma del seguente esempio:. `https://domainName.my.salesforce.com`
appId
L'ID app è l'identificatore della tua Salesforce External Client Application (ECA). Puoi recuperarlo chiamando l'endpoint Salesforce Usage. OAuth Deve iniziare con `0x` e contenere solo caratteri alfanumerici. [Questo campo si riferisce a external\$1client\$1app\$1identifier nella guida di rotazione di Salesforce.](https://help.salesforce.com/s/articleView?id=xcloud.eca_stage_oauth_credentials.htm&type=5)
ConsumerID
L'ID consumatore è l'identificatore del consumatore Salesforce External Client Application (ECA). Puoi recuperarlo chiamando l'endpoint Salesforce OAuth Credentials by App ID. [Questo campo si riferisce al consumer\$1id nella guida di rotazione di Salesforce.](https://help.salesforce.com/s/articleView?id=xcloud.eca_stage_oauth_credentials.htm&type=5)
## Campi di metadati segreti
Di seguito sono riportati i campi di metadati necessari per ruotare un segreto detenuto da Salesforce.
```
{
"apiVersion": "v65.0",
"adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:SalesforceClientSecret"
}
```
Versione API
La versione dell'API Salesforce è la versione dell'API della tua organizzazione Salesforce. La versione deve essere almeno v65.0. Deve essere nel formato in `vXX.X` cui si `X` trova un carattere numerico.
adminSecretArn
(Facoltativo) L'ARN del segreto di amministrazione è l'Amazon Resource Name (ARN) per il segreto che contiene le OAuth credenziali amministrative da utilizzare per ruotare questo segreto del client Salesforce. Il segreto di amministrazione deve contenere almeno un valore ConsumerKey e ConsumerSecret all'interno della struttura segreta. È un campo opzionale e, se omesso, durante la rotazione Secrets Manager utilizzerà OAuth le credenziali all'interno di questo segreto per autenticarsi con Salesforce.
## Flusso di utilizzo
I clienti che archiviano Salesforce Secrets in Gestione dei segreti AWS hanno la possibilità di ruotare un segreto con le credenziali archiviate nello stesso segreto o di utilizzare le credenziali nel segreto di amministrazione per la rotazione. Puoi creare il tuo segreto utilizzando la [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)chiamata con il valore segreto contenente i campi sopra menzionati e il tipo segreto as. SalesforceClientSecret Le configurazioni di rotazione possono essere impostate utilizzando una [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)chiamata. Questa chiamata richiede la specificazione dei campi di metadati come nell'esempio precedente. Se opti per una rotazione utilizzando le credenziali nello stesso segreto, puoi saltare il campo. adminSecretArn Inoltre, i clienti devono fornire un ruolo ARN nella [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)chiamata che concede al servizio le autorizzazioni necessarie per ruotare il segreto. [Per un esempio di politica di autorizzazioni, vedi Sicurezza e autorizzazioni.](mes-security.md)
Per i clienti che scelgono di ruotare i propri segreti utilizzando un set separato di credenziali (archiviate in un Admin Secret), assicurati di creare l'Admin Secret Gestione dei segreti AWS seguendo esattamente la stessa procedura utilizzata per il tuo segreto di consumo. È necessario fornire l'ARN di questo segreto di amministrazione nei metadati di rotazione in una [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)chiamata per il segreto del consumatore.
La logica di rotazione segue le indicazioni fornite da Salesforce.
# Token di aggiornamento Big ID
## Campi con valori segreti
Di seguito sono riportati i campi che devono essere contenuti nel segreto di Secrets Manager:
```
{
"hostname": "Host Name",
"refreshToken": "Refresh Token"
}
```
hostname
Questo è il nome host in cui è ospitata l'istanza BigID. Devi inserire il nome di dominio completo della tua istanza.
RefreshToken
Il token di aggiornamento utente JWT generato nella console BigID tramite Amministrazione → Gestione accessi → Seleziona utente → Genera token → Salva
## Flusso di utilizzo
Puoi creare il tuo segreto utilizzando la [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)chiamata con il valore segreto contenente i campi sopra menzionati e il tipo segreto come Big IDClient Secret. Le configurazioni di rotazione possono essere impostate utilizzando una [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)chiamata. È inoltre necessario fornire un ruolo ARN nella [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)chiamata che conceda al servizio le autorizzazioni necessarie per ruotare il segreto. [Per un esempio di politica di autorizzazioni, vedi Sicurezza e autorizzazioni.](mes-security.md) Nota che il campo dei metadati di rotazione può essere lasciato vuoto per questo partner.
# Coppia di chiavi Snowflake
## Campi di valore segreti
Di seguito sono riportati i campi che devono essere contenuti nel segreto di Secrets Manager:
```
{
"account": "Your Account Identifier",
"user": "Your user name",
"privateKey": "Your private Key",
"publicKey": "Your public Key",
"passphrase": "Your Passphrase"
}
```
user
Il nome utente Snowflake associato a questa autenticazione a coppia di chiavi. Questo utente deve essere configurato in Snowflake per accettare l'autenticazione tramite coppia di chiavi e la chiave pubblica deve essere assegnata al profilo di questo utente.
account
L'identificatore dell'account Snowflake utilizzato per stabilire la connessione. Questo può essere estratto dal tuo URL Snowflake (la parte precedente a .snowflakecomputing.com)
privateKey
La chiave privata RSA in formato PEM utilizzata per l'autenticazione. I BEGIN/END marker sono opzionali.
Chiave pubblica
La controparte a chiave pubblica in formato PEM corrispondente alla chiave privata. I BEGIN/END marker sono opzionali.
Passphrase
(Facoltativo) Questo campo si riferisce alla passphrase utilizzata per decrittografare la chiave privata crittografata.
## Campi di metadati segreti
Di seguito sono riportati i campi di metadati per Snowflake:
```
{
"cryptographicAlgorithm": "Your Cryptographic algorithm",
"encryptPrivateKey": "True/False"
}
```
Algoritmo crittografico
(Facoltativo) Si riferisce all'algoritmo utilizzato per la generazione delle chiavi. È possibile scegliere tra 3 algoritmi:`RS256|RS384|RS512`. Questo campo è facoltativo e l'algoritmo predefinito scelto è RS256.
encryptPrivateKey
(Facoltativo) Questo campo può essere utilizzato per scegliere se crittografare la chiave privata. Per impostazione predefinita, è impostato su false. La passphrase per la crittografia viene generata casualmente.
## Flusso di utilizzo
Puoi creare il tuo segreto utilizzando la [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)chiamata con il valore segreto contenente i campi sopra menzionati e il tipo segreto as SnowflakeKeyPairAuthentication. Le configurazioni di rotazione possono essere impostate utilizzando una [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)chiamata. Facoltativamente, puoi fornire i campi di metadati segreti in base alle tue esigenze. È inoltre necessario fornire un ruolo ARN nella [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)chiamata che conceda al servizio le autorizzazioni necessarie per ruotare il segreto. [Per un esempio di politica di autorizzazioni, vedi Sicurezza e autorizzazioni.](mes-security.md) Nota che il campo dei metadati di rotazione può essere lasciato vuoto per questo partner.
# Sicurezza e autorizzazioni
I segreti esterni gestiti non richiedono la condivisione dei privilegi a livello di amministratore degli account delle applicazioni di terze parti con. AWS Il processo di rotazione utilizza invece le credenziali e i metadati forniti dall'utente per effettuare chiamate API autorizzate all'applicazione di terze parti per l'aggiornamento e la convalida delle credenziali.
I segreti esterni gestiti mantengono gli stessi standard di sicurezza degli altri tipi di segreti di Secrets Manager. I valori segreti vengono crittografati quando sono inattivi utilizzando le chiavi KMS e in transito tramite TLS. L'accesso ai segreti è controllato tramite politiche IAM e politiche basate sulle risorse. Quando utilizzi una chiave gestita dal cliente per crittografare il tuo segreto, dovrai aggiornare la policy IAM relativa al ruolo di rotazione e la policy di fiducia CMK per fornire le autorizzazioni necessarie per garantire una rotazione di successo.
Affinché la rotazione funzioni correttamente, è necessario fornire a Secrets Manager autorizzazioni specifiche per gestire il ciclo di vita segreto. Queste autorizzazioni possono essere limitate a singoli segreti e seguire il principio del privilegio minimo. Il ruolo di rotazione fornito viene convalidato durante la configurazione e utilizzato esclusivamente per le operazioni di rotazione.
Puoi limitare l'ingresso IP alla tua risorsa esterna autorizzando solo gli [intervalli AWS IP](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html) per EC2 nella regione in cui esiste il tuo segreto. Questo elenco di intervalli IP può cambiare, quindi è necessario aggiornare periodicamente le regole di ingresso.
Gestione dei segreti AWS offre anche soluzioni single touch per creare la policy IAM con le autorizzazioni necessarie per gestire il segreto durante la creazione del segreto tramite la console Secrets Manager. Le autorizzazioni per questo ruolo sono limitate per ogni partner di integrazione in ogni regione.
**Esempio di politica sulle autorizzazioni:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowRotationAccess",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue",
"secretsmanager:UpdateSecretVersionStage"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"secretsmanager:resource/Type": "SalesforceClientSecret"
}
}
},
{
"Sid": "AllowPasswordGenerationAccess",
"Action": [
"secretsmanager:GetRandomPassword"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
[Nota: l'elenco dei tipi di segreti disponibili per SecretsManager:Resource/type è disponibile in Integration Partners.](mes-partners.md)
**Esempio di politica di fiducia:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SecretsManagerPrincipalAccess",
"Effect": "Allow",
"Principal": {
"Service": "secretsmanager.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:*"
}
}
}
]
}
```
# Monitora e risolvi i problemi relativi ai segreti esterni gestiti
I segreti esterni gestiti forniscono funzionalità di monitoraggio complete tramite AWS CloudTrail log e CloudWatch metriche Amazon. Tutte le attività di rotazione vengono registrate con informazioni dettagliate su esito positivo, negativo ed eventuali errori riscontrati durante il processo.
I problemi più comuni nel flusso di lavoro di rotazione includono una configurazione errata delle autorizzazioni dei ruoli o del valore segreto. La mancata impostazione di questi campi è il formato specificato dai partner di integrazione e può causare errori di rotazione, in quanto il servizio non sarà in grado di accedere al segreto o connettersi con il client del partner di integrazione per aggiornare il segreto. Altri problemi potrebbero essere problemi di connettività di rete, scadenza delle credenziali o disponibilità del servizio partner. Il servizio di rotazione gestita include la logica dei tentativi e la gestione degli errori per massimizzare l'affidabilità
Puoi monitorare i piani di rotazione, le percentuali di successo e le metriche delle prestazioni tramite Amazon CloudWatch. Puoi configurare allarmi personalizzati tramite [Event Bridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html) per avvisarti di errori di rotazione o altri problemi che richiedono attenzione.
# Migrazione dei segreti esistenti
Hai la possibilità di migrare i segreti dei partner esistenti verso segreti esterni gestiti. Questo può essere fatto con una [UpdateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecret.html)chiamata. È necessario aggiornare il valore segreto e i metadati come indicato nella guida. Se hai già impostato una logica di rotazione personalizzata per questi segreti, devi prima annullare la rotazione utilizzando una [CancelRotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CancelRotateSecret.html)chiamata.
# Considerazioni e limitazioni
I segreti esterni gestiti non supportano segreti effimeri con una durata inferiore a quattro ore. Inoltre, i segreti associati ai certificati dell'infrastruttura a chiave pubblica non sono supportati.
I segreti esterni gestiti sono supportati solo per i partner che hanno aderito. Gestione dei segreti AWS Per un elenco completo, consulta [Integration](mes-partners.md) Partners. Non vedi il tuo partner nell'elenco? [Digli a Onboard di Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager/latest/mes-onboarding/secrets-manager-mes-onboarding.html)
Se si aggiornano o si ruotano i valori segreti direttamente dal servizio client partner all'esterno del motore di rotazione di Secrets Manager, la sincronizzazione tra i sistemi potrebbe interrompersi. Sebbene Secrets Manager fornisca avvisi sulla console e prevenzione programmatica per gli aggiornamenti manuali dei valori segreti, puoi comunque modificare i valori direttamente nell'applicazione di terze parti. Per ristabilire la sincronizzazione dopo out-of-band gli aggiornamenti, è necessario aggiornare il valore segreto in modo che rifletta il segreto corretto e quindi richiamare l'[RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)API per garantire che le rotazioni continuino con successo.