Características de AWS Secrets Manager

AWS Secrets Manager cifra datos confidenciales en reposo mediante claves de cifrado que posee y almacena en AWS Key Management Service (AWS KMS). 

• Cuando recupera un dato confidencial, Secrets Manager lo descifra y lo transmite de forma segura a través de TLS a su entorno local.
• Secrets Manager se integra con AWS Identity and Access Management (AWS IAM) para controlar el acceso al dato confidencial a través de las políticas minuciosas de IAM y de políticas basadas en recursos.

Con AWS Secrets Manager, puede rotar datos confidenciales en forma programada o bajo demanda con la consola de Secrets Manager, AWS SDK o la CLI de AWS. 

• Secrets Manager admite de forma nativa credenciales rotativas para bases de datos alojadas en Amazon RDS y Amazon DocumentDB y clústeres alojados en Amazon Redshift.
  
• Puede ampliar Secrets Manager para rotar datos confidenciales que se usan con otros servicios 3P o de AWS al modificar las funciones de muestra de Lambda.

Con AWS Secrets Manager, puede replicar automáticamente datos confidenciales a varias regiones de AWS para satisfacer sus requisitos únicos de recuperación de desastres y redundancia entre regiones. Especifique las regiones de AWS en las que se tiene que replicar un dato confidencial para que Secrets Manager cree réplicas de lectura regionales de forma segura, lo que elimina la necesidad de mantener una solución compleja para esta funcionalidad. Puede dar a sus aplicaciones de varias regiones acceso a datos confidenciales replicados en las regiones requeridas y confiar en Secrets Manager para mantener las réplicas sincronizadas con el dato confidencial principal.

Cree aplicaciones priorizando la seguridad de los datos confidenciales.

• Secrets Manager proporciona ejemplos de código para llamar a las API de Secrets Manager desde lenguajes de programación comunes. Hay dos tipos de API para recuperar secretos:
  • Recupere un único secreto por nombre o ARN.
  • Recupere un grupo de secretos mediante una lista de nombres o ARN, o al filtrar criterios, como etiquetas.
• Configure los puntos de conexión de Amazon Virtual Private Cloud (Amazon VPC) para que mantengan el tráfico entre su VPC y Secrets Manager en la red de AWS.
• También puede usar las bibliotecas de almacenamiento en caché por parte del cliente de AWS Secrets Manager para mejorar la disponibilidad y reducir la latencia durante la recuperación de datos confidenciales.

AWS Secrets Manager le permite auditar y supervisar datos confidenciales a través de la integración en los servicios de registro, supervisión y notificación de AWS. Por ejemplo, después de habilitar AWS CloudTrail para una región de AWS, puede auditar cuándo se crea o rota un dato confidencial viendo los registros de AWS CloudTrail. Del mismo modo, puede configurar Amazon CloudWatch para recibir mensajes de correo electrónico con el servicio de notificación simple de Amazon cuando los datos confidenciales permanezcan sin usar durante un tiempo, o puede configurar eventos de Amazon CloudWatch para recibir notificaciones automáticas cuando Secrets Manager los rota.

Puede usar AWS Secrets Manager para cumplir con los requisitos de conformidad.

• Use las reglas de AWS Config para poder verificar que los datos confidenciales se configuran según los requisitos de conformidad y seguridad de su organización.
• Administre los datos confidenciales de las cargas de trabajo que están sujetas a la Guía de Requisitos de Seguridad para la Computación en la Nube del Departamento de Defensa (DoD CC SRG IL2, DoD CC SRG IL4 y DoD CC SRG IL5), el Programa Federal de Administración de Riesgos y Autorizaciones (FedRAMP), la Ley de Responsabilidad y Portabilidad de Seguros de Salud (HIPAA) de Estados Unidos, el Programa de Asesores Registrados para la Seguridad de la Información (Information Security Registered Assessors Program, IRAP), el Informe de auditoría de proveedores de servicios externos (Outsourced Service Provider’s Audit Report, OSPAR), las normas ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO 9001, el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI-DSS) o los Controles de Sistemas y Organizaciones (System and Organization Controls, SOC).
• Consulte los detalles del informe y el programa de conformidad de AWS en AWS Artifact.

Los servicios de AWS se integran con Secrets Manager para administrar de manera segura las credenciales. Estas integraciones le ayudan a intercambiar credenciales con varios servicios de AWS. Las credenciales almacenadas en Secrets Manager se cifran mediante las claves de KMS administradas por AWS o las claves administradas por el cliente. Secrets Manager rota los datos confidenciales de manera periódica con el fin de mantener elevada la seguridad. Una vez que los datos confidenciales se almacenen con Secrets Manager, podrá proporcionar el ARN de uno de estos en lugar de la credencial en texto sin formato cuando lo requiera un servicio de AWS. Los siguientes servicios admiten Secrets Manager para que los clientes puedan intercambiar credenciales de forma segura: