AWS Secrets Manager – Funktionen

AWS Secrets Manager verschlüsselt gespeicherte Secrets mithilfe von Verschlüsselungsschlüsseln in Ihrem Besitz, die Sie im AWS Key Management Service (AWS KMS) speichern. 

• Beim Abrufen eines Secrets entschlüsselt Secrets Manager das Secret und überträgt es sicher über TLS in Ihre lokale Umgebung.
• Secrets Manager lässt sich mit AWS Identity and Access Management (IAM) integrieren, um den Zugriff auf das Geheimnis mithilfe von fein abgestuften IAM-Richtlinien und ressourcenbasierten Richtlinien zu steuern.

Mit AWS Secrets Manager können Sie Secrets mit der Secrets-Manager-Konsole, AWS SDK oder AWS CLI plangemäß oder auf Nachfrage rotieren. 

• Secrets Manager unterstützt nativ rotierende Anmeldeinformationen für Datenbanken, die auf Amazon RDS und Amazon DocumentDB gehostet werden, und Cluster, die auf Amazon Redshift gehostet werden.
  
• Sie können Secrets Manager erweitern, um Secrets zu rotieren, die mit anderen AWS- oder 3P-Services verwendet werden, indem Sie Lambda-Beispielfunktionen ändern.

Mit AWS Secrets Manager können Sie Ihre Geheimnisse automatisch in mehrere AWS-Regionen replizieren, um Ihre einzigartigen Anforderungen an die Notfallwiederherstellung und überregionale Redundanz zu erfüllen. Geben Sie die AWS-Regionen an, in denen ein Geheimnis repliziert werden muss: Secrets Manager erstellt sicher regionale Lese-Replikate, so dass keine komplexe Lösung für diese Funktionalität erforderlich ist. Sie können Ihren Anwendungen mit mehreren Regionen Zugriff auf replizierte Geheimnisse in den erforderlichen Regionen geben und sich darauf verlassen, dass der Secrets Manager die Replikate mit dem primären Geheimnis synchron hält.

Entwickeln Sie Ihre Anwendungen so, dass die Sicherheit von Geheimnissen an erster Stelle steht.

• Secrets Manager bietet Codebeispiele für den Aufruf von Secrets Manager APIs aus gängigen Programmiersprachen. Es gibt zwei Arten von APIs zum Abrufen von Geheimnissen:
  • Ruft ein einzelnes Geheimnis nach Namen oder ARN ab.
  • Rufen Sie eine Gruppe von Geheimnissen ab, indem Sie eine Liste mit Namen oder ARNs oder Filterkriterien wie Tags angeben.
• Konfigurieren Sie Amazon-Virtual-Private-Cloud(VPC)-Endpunkte so, dass der Datenverkehr zwischen Ihrem VPC und Secrets Manager im AWS-Netzwerk erhalten bleibt.
• Sie können auch die clientseitigen Caching-Bibliotheken von Secrets Manager verwenden, um die Verfügbarkeit zu verbessern und die Latenzzeit beim Abrufen von Geheimnissen zu verringern.

Mit AWS Secrets Manager können Sie Secrets durch die Integration in AWS-Anmeldungs-, -Überwachungs- und -Benachrichtigungsdienste prüfen und überwachen. Nachdem Sie beispielsweise AWS CloudTrail für eine AWS-Region aktiviert haben, können Sie anhand der AWS CloudTrail-Protokolle prüfen, wann ein Geheimnis erstellt oder rotiert wird. Sie können auch Amazon CloudWatch so konfigurieren, dass Sie E-Mail-Nachrichten unter Verwendung des Amazon Simple Notification Service erhalten, wenn Geheimnisse über einen bestimmten Zeitraum hinweg ungenutzt bleiben. Alternativ können Sie auch Amazon-CloudWatch-Ereignisse so konfigurieren, dass Sie Push-Benachrichtigungen erhalten, wenn Secrets Manager Ihre Geheminisse rotiert.

Sie können AWS Secrets Manager verwenden, um Compliance-Anforderungen zu erfüllen.

• Mit den AWS-Config-Regeln können Sie überprüfen, ob Ihre Geheimnisse gemäß den Sicherheits- und Compliance-Anforderungen Ihres Unternehmens konfiguriert sind.
• Verwalten Sie Geheimnisse für Workloads, die dem Cloud Computing Security Requirements Guide des Verteidigungsministeriums (DoD CC SRG IL2, DoD CC SRG IL4 und DoD CC SRG IL5), Federal Risk and Authorization Management Program (FedRAMP) der USA, unterliegen. Health Insurance Portability and Accountability Act (HIPAA), Information Security Registered Assessors Program (IRAP), Outsourced Service Provider's Audit Report (OSPAR), ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO 9001, Payment Card Industry Data Security Standard (PCI-DSS) oder System and Organization Control (SOC).
• Weitere Informationen zum Compliance-Programm und zum Bericht von AWS finden Sie unter AWS Artifact.

AWS-Services sind mit Secrets Manager integriert, um Ihre Anmeldedaten sicher zu verwalten. Diese Integrationen helfen Ihnen beim sicheren Austausch von Anmeldeinformationen mit verschiedenen AWS-Services. Die in Secrets Manager gespeicherten Anmeldeinformationen werden entweder mit von AWS verwalteten KMS-Schlüsseln oder mit vom Kunden verwalteten Schlüsseln verschlüsselt. Secrets Manager wechselt die Geheimnisse regelmäßig, um die Sicherheitslatte hoch zu halten. Sobald Ihre Geheimnisse mit Secrets Manager gespeichert sind, können Sie einem AWS-Service den ARN eines Geheimnisses anstelle einer Klartext-Anmeldeinformation zur Verfügung stellen. Die folgenden Services bieten Secrets-Manager-Unterstützung für den sicheren Austausch von Anmeldedaten: