Domande generali

Cos'è AWS Secrets Manager?  

AWS Secrets Manager è un servizio di gestione di chiavi segrete che aiuta a proteggere l'accesso ad applicazioni, servizi e risorse IT. Questo servizio permette di modificare periodicamente, gestire, e modificare credenziali di database, chiavi API e altre chiavi segrete in tutto il ciclo di vita. Con Secrets Manager, è possibile proteggere e gestire le chiavi segrete necessarie per accedere alle risorse nel cloud AWS, in servizi di terze prati e in locale.

Qual è il vantaggio di utilizzare AWS Secrets Manager?  

AWS Secrets Manager protegge l'accesso ad applicazioni, servizi e risorse IT senza alcun investimento anticipato né costi di manutenzione per il funzionamento di un'infrastruttura locale.

Secrets Manager è rivolto agli amministratori IT che desiderano un metodo sicuro e scalabile per memorizzare e gestire chiavi segrete. Gli amministratori della sicurezza responsabili dei requisiti normativi e di conformità potranno utilizzare questo servizio per monitorare le chiavi segrete e modificarle periodicamente senza provocare interruzioni delle applicazioni. Gli sviluppatori che desiderano sostituire le chiavi segrete scritte nel codice delle loro applicazioni potranno utilizzarle in modo programmatico con Secrets Manager.

 

Cosa è possibile fare con AWS Secrets Manager?

AWS Secrets Manager permette di memorizzare, utilizzare, modificare periodicamente, verificare con audit e monitorare le chiavi segrete in modo centralizzato, controllandone anche l'accesso.

È possibile crittografare le chiavi segrete su disco per ridurre le possibilità che utenti non autorizzati visualizzino informazioni sensibili. Per recuperare le chiavi segrete, è sufficiente sostituire le chiavi memorizzate in testo semplice nelle applicazioni con il codice necessario per richiamarle con le API Secrets Manager. È possibile utilizzare le policy di AWS Identity and Access Management (IAM) per controllare quali utenti e applicazioni possono accedere a specifiche chiavi segrete. È inoltre possibile modificare periodicamente le password, sia su pianificazione sia on demand, per i tipi di database supportati in hosting in AWS, senza provocare interruzioni alle applicazioni. Questa funzionalità può essere anche estesa per modificare periodicamente altre chiavi segrete, ad esempio le password per database Oracle in hosting in Amazon EC2 o i token di aggiornamento OAuth, semplicemente modificando le funzioni Lambda di esempio. Inoltre, è possibile effettuare audit e monitorare le chiavi segrete, perché Secrets Manager si integra con AWS CloudTrail, Amazon CloudWatch e Amazon Simple Notification Service (Amazon SNS).

Quali chiavi segrete è possibile gestire con AWS Secrets Manager?

È possibile gestire chiavi segrete quali credenziali di database, credenziali di risorse locali, credenziali di applicazioni SaaS, chiavi API di terze parti e chiavi Secure Shell (SSH). Secrets Manager permette di memorizzare un documento JSON con cui è possibile gestire qualsiasi descrizione di testo di dimensioni inferiori a 4 KB.

Quali chiavi segrete è possibile modificare periodicamente con AWS Secrets Manager?

È possibile modificare periodicamente le credenziali in modo nativo per Amazon Relational Database Service (RDS) per MySQL, PostgreSQL e Amazon Aurora. Questa funzionalità può essere anche estesa per modificare periodicamente altre chiavi segrete, ad esempio le password per database Oracle in hosting in EC2 o i token di aggiornamento OAuth, semplicemente modificando le funzioni AWS Lambda disponibili nella documentazione di Secrets Manager.

In che modo le applicazioni utilizzano le chiavi segrete?

Prima di tutto, è necessario scrivere una policy di AWS Identity and Access Management (IAM) che permetta all'applicazione di accedere a specifiche chiavi segrete. Quindi le chiavi segrete in testo semplice nel codice sorgente delle applicazioni potranno essere sostituite con il codice che permette di utilizzarle programmaticamente tramite le API Secrets Manager. Per una descrizione completa della funzionalità comprensiva di esempi, consulta il documento AWS Secrets Manager User Guide.

Come si inizia a usare AWS Secrets Manager?

Per iniziare a usare AWS Secrets Manager:

  1. Individua le chiavi segrete e il relativo percorso di utilizzo nelle applicazioni.
  2. Accedi alla Console di gestione AWS con le credenziali AWS e apri la console di Secrets Manager.
  3. Nella console di Secrets Manager, carica una chiave segreta. In alternativa, è possibile utilizzare il kit SDK AWS o l'interfaccia a riga di comando per caricare una chiave segreta alla volta. È anche possibile compilare uno script per caricare più chiavi segrete alla volta.
  4. Se la chiave segreta non è ancora in uso, segui le istruzioni nella console per configurare la modifica periodica automatica. Se la chiave segreta è già utilizzata dalle applicazioni, completa i passaggi ai punti 5 e 6 prima di configurare la modifica periodica automatica.
  5. Se altri utenti o applicazioni devono utilizzare la chiave segreta, compila una policy di IAM per fornire le autorizzazioni di accesso alla chiave.
  6. Aggiorna le applicazioni in modo che recuperino la chiave segreta direttamente da Secrets Manager.

In quali regioni è disponibile AWS Secrets Manager?

Per informazioni sulla disponibilità di AWS Secrets Manager, consulta la tabella delle regioni AWS.

Modifica programmata

 

In che modo AWS Secrets Manager implementa la modifica periodica delle credenziali di un database senza provocare interruzioni nelle applicazioni?

AWS Secrets Manager permette di configurare la modifica periodica delle credenziali di database secondo una pianificazione specifica. In questo modo è possibile seguire le best practice di sicurezza e modificare le credenziali del database in modo affidabile. Quando Secrets Manager avvia la modifica periodica, utilizza le credenziali fornite dall'utente per creare un utente clone con gli stessi privilegi e una password differente. Quindi, il servizio comunica le informazioni dell'utente clone a database e applicazioni, recuperando le credenziali del database. Per ulteriori informazioni sulla modifica periodica delle chiavi, consulta il documento AWS Secrets Manager Rotation Guide.

La modifica periodica delle credenziali di un database può avere effetti sulle connessioni aperte?

No. L'autenticazione ha luogo quando la connessione è già stata stabilita. Quando AWS Secrets Manager apporta una modifica periodica alle credenziali di un database, la connessione aperta con il database non viene autenticata nuovamente.

Come si capisce se AWS Secrets Manager ha proceduto alla modifica periodica delle credenziali di un database?

È possibile configurare Amazon CloudWatch Events in modo da ricevere una notifica quando AWS Secrets Manager modifica una chiave segreta. Per visualizzare quando si è verificata l'ultima modifica periodica, è anche possibile utilizzare le API o la console del servizio.  

Sicurezza

In che modo AWS Secrets Manager protegge le chiavi segrete?

AWS Secrets Manager crittografa le chiavi segrete su disco con chiavi di crittografia gestibili manualmente tramite AWS Key Management Service (KMS). Inoltre, è possibile controllare l'accesso alle chiavi segrete utilizzando le policy di AWS Identity and Access Management (IAM). Quando viene utilizzata una chiave segreta, Secrets Manager la decrittografa e la trasmette in modo sicuro all'ambiente locale utilizzando il protocollo TLS. Di default, Secrets Manager non memorizza nella cache né scrive su storage persistente la chiave segreta.

Chi può usare e gestire i segreti in AWS Secrets Manager?

Per controllare le autorizzazioni di utenti e applicazioni a utilizzare o gestire chiavi segrete specifiche, è possibile utilizzare le policy di AWS Identity and Access Management (IAM). Ad esempio, è possibile creare una policy che permette ai soli sviluppatori l'utilizzo delle chiavi segrete necessarie per accedere all'ambiente di sviluppo. Per ulteriori informazioni, consulta il documento Authentication and Access Control for AWS Secrets Manager.

In che modo AWS Secrets Manager crittografa le chiavi segrete?

AWS Secrets Manager si avvale di crittografia di tipo envelope (l'algoritmo AES a 256 bit) e AWS Key Management Service (KMS).

Al primo utilizzo di Secrets Manager, è possibile indicare le chiavi CMK (Customer Master Key) con cui procedere alla crittografia. Se non viene specificata alcuna chiave CMK, Secrets Manager creerà automaticamente chiavi AWS KMS predefinite per l'account. Quando viene memorizzata una chiave segreta, Secrets Manager richiede da KMS una chiave dati in testo semplice e una crittografata. Secrets manager utilizza la chiave dati in testo semplice per crittografare la chiave segreta in memoria. AWS Secrets Manager memorizza e gestisce la chiave segreta crittografata e la chiave dati crittografata. Quando è necessario utilizzare una chiave segreta, Secrets Manager decrittografa la chiave dati (utilizzando le chiavi predefinite di AWS KMS) e usa la chiave dati in testo semplice per decrittografare la chiave segreta. La chiave dati viene memorizzata crittografata e non viene mai scritta su disco in testo semplice. Inoltre, Secrets Manager non memorizza nella cache né scrive su storage persistente la chiave segreta in testo semplice.

Fatturazione

Come viene addebitato e fatturato l'utilizzo di AWS Secrets Manager?

I costi di Secrets Manager si basano sull'uso effettivo delle risorse e non prevedono tariffe minime. L'utilizzo del servizio non richiede alcun impegno di lungo termine né costi di configurazione. Alla fine del mese, verrà addebitato sulla carta di credito il costo delle risorse utilizzate in quel mese. I costi addebitati dipendono dal numero di chiavi segrete memorizzate e di richieste API inoltrate al servizio ogni mese.

Per ulteriori informazioni sui prezzi del servizio, consulta la pagina dei prezzi di AWS Secrets Manager.

È disponibile una prova gratuita?

Sì, è possibile provare AWS Secrets Manager senza alcun costo per 30 giorni. La prova gratuita permette di modificare, gestire e utilizzare le chiavi segrete per un periodo di 30 giorni. Il periodo di prova inizia al momento della memorizzazione della prima chiave segreta.

Ulteriori informazioni sui prezzi di AWS Secrets Manager

Visita la pagina dei prezzi
Ti senti pronto?
Inizia a usare AWS Secrets Manager
Hai ulteriori domande?
Contattaci