Caratteristiche di Gestione dei segreti AWS

Gestione dei segreti AWS esegue la crittografia a riposo delle chiavi segrete con chiavi di crittografia gestibili e archiviabili nel Servizio di gestione delle chiavi AWS (AWS KMS). 

• Quando viene recuperata una chiave segreta, Secrets Manager la decrittografa e la trasmette in modo sicuro all'ambiente locale utilizzando il protocollo TLS.
• Gestione dei segreti si integra con AWS Identity and Access Management (IAM) per controllare l'accesso alla chiave segreta utilizzando le policy granulari e le policy basate sulle risorse di IAM.

Con Gestione dei segreti AWS, è possibile pianificare la modifica delle chiavi segrete o modificarle on demand utilizzando la console di Gestione dei segreti, AWS SDK o AWS CLI. 

• Gestione dei segreti supporta nativamente la rotazione delle credenziali per database ospitati su Amazon RDS e Amazon DocumentDB e cluster ospitati su Amazon Redshift.
  
• Puoi estendere Gestione dei segreti per modificare le chiavi segrete utilizzate in altri servizi AWS o 3P modificando le funzioni campione di Lambda.

Con Gestione dei segreti AWS, puoi replicare automaticamente le chiavi segrete in più regioni AWS in modo da soddisfare le esigenze uniche di ripristino di emergenza e di ridondanza tra le varie regioni. Specifica le regioni AWS in cui è necessario replicare una chiave segreta; Gestione segreti creerà in modo sicuro repliche di lettura regionali e non sarà necessario gestire una soluzione complessa per questa funzionalità. Puoi concedere alle applicazioni per più regioni l'accesso alle chiavi segrete replicate nelle regioni richieste e fare affidamento su Gestione segreti per la sincronizzazione delle repliche con la chiave segreta principale.

Crea le tue applicazioni pensando alla sicurezza delle chiavi segrete.

• Secrets Manager fornisce esempi di codice per chiamare le API di Secrets Manager con linguaggi di programmazione comuni. Esistono due tipi di API per recuperare i segreti:
  • Recupero di un singolo segreto per nome o ARN.
  • Recupero di un gruppo di segreti fornendo un elenco di nomi o ARN, o inserendo dei filtri tra cui i tag.
• Configura gli endpoint del cloud privato virtuale (VPC) per mantenere il traffico all'interno del tuo VPC e Secrets Manager nella rete AWS.
• Puoi anche utilizzare le librerie di caching lato client di Gestione segreti per migliorare la disponibilità e ridurre la latenza durante il recupero delle chiavi segrete.

Gestione dei segreti AWS permette di eseguire audit e monitorare le chiavi segrete utilizzando l'integrazione con i servizi AWS dedicati a registrazione di log, monitoraggio e notifiche. Ad esempio, dopo aver abilitato AWS CloudTrail in una determinata regione AWS, è possibile verificare quando una chiave segreta viene creata o modificata controllando i registri di AWS CloudTrail. Analogamente, è possibile configurare Amazon CloudWatch in modo da ricevere un'e-mail tramite Amazon Simple Notification Service quando una chiave segreta rimane inutilizzata a lungo, oppure configurare gli Eventi Amazon CloudWatch in modo da ricevere notifiche push quando Gestione dei segreti procede a una delle modifiche periodiche.

Puoi utilizzare Gestione dei segreti AWS per soddisfare i requisiti di conformità.

• Utilizza le regole di AWS Config per valutare se le chiavi segrete sono configurate secondo la sicurezza della tua organizzazione e con i requisiti di conformità.
• Gestisci le chiavi segrete per i carichi di lavoro soggetti alla Guida ai requisiti di sicurezza del cloud computing del Dipartimento della Difesa (DoD CC SRG IL2, DoD CC SRG IL4 e DoD CC SRG IL5), Federal Risk and Authorization Management Program (FedRAMP), U.S. Health Insurance Portability and Accountability Act (HIPAA), Information Security Registered Assessors Program (IRAP), Outsourced Service Provider's Audit Report (OSPAR), ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO 9001, Payment Card Industry Data Security Standard (PCI-DSS) o System and Organization Control (SOC).
• Ulteriori informazioni sul programma di conformità e report AWS su AWS Artifact.

I servizi AWS si integrano con Gestione segreti per gestire le tue credenziali in modo sicuro. Queste integrazioni ti aiutano a scambiare le credenziali in sicurezza con i vari servizi AWS. Le credenziali archiviate in Gestione segreti sono crittografate utilizzando le chiavi KMS gestite da AWS o le chiavi gestite dai clienti. Gestione segreti modifica periodicamente le chiavi segrete per mantenere alto il livello di sicurezza. Dopo aver archiviato le chiavi segrete con Gestione segreti, potrai fornire l'ARN di una chiave segreta invece di una credenziale di testo nei servizi AWS. I seguenti servizi offrono il supporto di Gestione segreti ai clienti per scambiare le credenziali in sicurezza: