View a markdown version of this page

Segurança e permissões - AWS Secrets Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Segurança e permissões

Segredos externos gerenciados não exigem que você compartilhe privilégios de administrador de suas contas de aplicativos de terceiros com.AWS Em vez disso, o processo de rotação usa credenciais e metadados que você fornece para fazer chamadas de API autorizadas para o aplicativo de terceiros para atualizações e validação de credenciais.

Os segredos externos gerenciados mantêm os mesmos padrões de segurança dos outros tipos de segredos do Secrets Manager. Os valores secretos são criptografados em repouso usando suas chaves KMS e em trânsito usando TLS. O acesso aos segredos é controlado por meio de políticas do IAM e políticas baseadas em recursos. Ao usar uma chave gerenciada pelo cliente para criptografar seu segredo, você precisará atualizar a política do IAM da função de rotação e a política de confiança da CMK para fornecer as permissões necessárias para garantir a rotação bem-sucedida.

Para que a rotação funcione corretamente, você deve fornecer ao Secrets Manager permissões específicas para gerenciar o ciclo de vida secreto. Essas permissões podem ter como escopo os segredos individuais e seguir o princípio do menor privilégio. A função de rotação que você fornece é validada durante a configuração e usada exclusivamente para operações de rotação.

Você pode restringir a entrada de IP para seu recurso externo permitindo somente a lista de prefixos gerenciados por segredos AWS externos gerenciados pelo Secrets Manager na região em que seu segredo existe. A lista de prefixos é nomeadacom.amazonaws.region.secretsmanager-managed-external-secrets, onde region está a AWS região do seu segredo. O uso da lista de prefixos gerenciados garante que suas regras de entrada permaneçam atualizadas automaticamente à medida que os intervalos de IP subjacentes mudam.

Se você preferir referenciar a lista de prefixos programaticamente, você pode usar a GetManagedPrefixListEntriesAPI para listar os IPs que precisam ser permitidos. Você deve atualizar periodicamente suas regras de entrada com essa lista de prefixos para mantê-las atualizadas.

AWS Secrets Manager também oferece soluções de toque único para criar a política do IAM com as permissões necessárias para gerenciar o segredo ao criar o segredo por meio do console do Secrets Manager. As permissões para essa função são definidas para cada parceiro de integração em cada região.

Exemplo de política de permissões:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRotationAccess", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue", "secretsmanager:UpdateSecretVersionStage" ], "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "secretsmanager:resource/Type": "SalesforceClientSecret" } } }, { "Sid": "AllowPasswordGenerationAccess", "Action": [ "secretsmanager:GetRandomPassword" ], "Resource": "*", "Effect": "Allow" } ] }

Nota: A lista de tipos de segredos que estão disponíveis para secretsmanager: resource/Type pode ser encontrada em Parceiros de Integração.

Exemplo de política de confiança:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecretsManagerPrincipalAccess", "Effect": "Allow", "Principal": { "Service": "secretsmanager.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:*" } } } ] }