Sicherer Secrets-Speicher

AWS Secrets Manager verschlüsselt gespeicherte Secrets mithilfe von Verschlüsselungsschlüsseln in Ihrem Besitz, die Sie im AWS KMS (Key Management Service) speichern. Beim Abrufen eines Secrets entschlüsselt Secrets Manager das Secret und überträgt es sicher über TLS in Ihre lokale Umgebung. Standardmäßig übernimmt Secrets Manager weder das Schreiben noch das Ablegen im persistenten Speicher. Darüber hinaus können Sie den Zugriff auf das Secret mithilfe von fein abgestuften AWS Identity and Access Management (IAM)-Richtlinien und Resource-Based-Richtlinien steuern.  Sie können auch Secrets einzeln markieren und tagbasierte Zugriffskontrollen anwenden. So können Sie beispielsweise Secrets, die in der Produktionsumgebung verwendet werden, als „Prod“ kennzeichnen und dann eine IAM-Richtlinie schreiben, um den Zugriff auf diese Secrets nur dann zu gewähren, wenn die Anfragen aus dem IT-Netzwerk des Unternehmens kommen.

Automatische Rotation von Secrets ohne das Stören von Anwendungen

Mit AWS Secrets Manager können Sie Secrets mit der Secrets Manager-Konsole, AWS SDK oder AWS CLI plangemäß oder auf Nachfrage rotieren. Um beispielsweise das Passwort für eine Datenbank zu rotieren, stellen Sie beim Speichern des Passwortes in Secrets Manager den Datenbanktyp, die Rotationshäufigkeit und die Anmeldedaten bei der Master-Datenbank bereit. Secrets Manager unterstützt nativ rotierende Anmeldeinformationen für Datenbanken, die auf Amazon RDS und Amazon DocumentDB gehostet werden, und Cluster, die auf Amazon Redshift gehostet werden. Sie können den Secrets Manager erweitern, um andere Secrets zu rotieren, indem Sie die Lambda-Beispielfunktionen ändern. So können Sie beispielsweise OAuth-Aktualisierungstokens rotieren, die zur Autorisierung von Anwendungen oder Passwörtern für lokale MySQL-Datenbanken dienen. Benutzer und Anwendungen rufen Secrets ab, indem sie hartcodierte Secrets durch einen Aufruf von Secrets Manager APIs ersetzen, wodurch Sie die Secret-Rotation automatisieren können, während gleichzeitig sichergestellt ist, dass die Anwendungen störungsfrei ausgeführt werden.

Programmatisches Abrufen von Secrets

Sie können Secrets über die AWS Secrets Manager-Konsole, das AWS SDK, AWS CLI oder AWS CloudFormation speichern und abrufen. Zum Abrufen von Secrets ersetzen Sie einfach die Plaintext-Secrets in Ihren Anwendungen durch Code, um diese dann programmatisch mithilfe der Secrets Manager APIs „hereinzuziehen“. Secrets Manager bietet Codemuster für das Abrufen von Secrets Manager APIs, die ebenfalls auf der Seite Secrets Manager-Ressourcen bereitstehen.  Sie können Amazon Virtual Private Cloud (VPC)-Endpunkte so konfigurieren, dass der Datenverkehr zwischen Ihrem VPC und Secrets Manager im AWS-Netzwerk erhalten bleibt. Sie können auch Client-seitige Caching-Bibliotheken von Secrets Manager verwenden, um die Verfügbarkeit zu verbessern und die Latenzzeit bei der Verwendung Ihrer Secrets zu reduzieren.

Audit und Überwachung der Secrets-Nutzung

Mit AWS Secrets Manager können Sie Secrets durch die Integration in AWS-Anmeldungs-, -Überwachungs- und -Benachrichtigungsdienste prüfen und überwachen. Nachdem Sie beispielsweise AWS CloudTrail für eine AWS-Region aktiviert haben, können Sie anhand der AWS CloudTrail-Protokolle prüfen, wann ein Secret gespeichert oder rotiert wird. Sie können auch Amazon CloudWatch so konfigurieren, dass Sie E-Mail-Nachrichten unter Verwendung des Amazon Simple Notification Service erhalten, wenn Secrets über einen bestimmten Zeitraum hinweg ungenutzt bleiben. Alternativ können Sie auch Amazon CloudWatch-Ereignisse so konfigurieren, dass Sie Push-Benachrichtigungen erhalten, wenn Secrets Manager Ihre Secrets rotiert.

Compliance

Mit dem AWS Secrets Manager können Sie Secrets für Workloads verwalten, die dem U.S. Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI-DSS), ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 oder ISO 9001 unterliegen. Weitere Informationen zum Compliance-Programm und zum Bericht von AWS finden Sie unter AWS-Artefakt.

Weitere Informationen zu den Preisen für AWS Secrets Manager

Zur Seite mit den Preisen
Bereit zum Entwickeln?
Erste Schritte mit AWS Secrets Manager
Haben Sie Fragen?
Kontakt