Storage sicuro di chiavi segrete

AWS Secrets Manager crittografa le chiavi segrete su disco con chiavi di crittografia gestibili manualmente tramite AWS Key Management Service (KMS). Quando viene utilizzata una chiave segreta, Secrets Manager la decrittografa e la trasmette in modo sicuro all'ambiente locale utilizzando il protocollo TLS. Di default, Secrets Manager non memorizza nella cache né scrive su storage persistente la chiave segreta. Inoltre, è possibile controllare l'accesso ad essa utilizzando le policy granulari di AWS Identity and Access Management (IAM) e le policy basate sulle risorse.  Puoi anche etichettare le chiavi segrete individualmente e applicare controlli d'accesso basati su tag. Per esempio, puoi etichettare le chiavi segrete utilizzate nell'ambiente di produzione come "Prod", e quindi scrivere una policy IAM per garantire l'accesso a queste chiavi segrete solo se le richieste arrivano dalla rete IT interna.

Modifica automatica delle chiavi segrete senza interruzioni alle applicazioni

Con AWS Secrets Manager, è possibile pianificare la modifica delle chiavi segrete o modificarle on demand utilizzando la console Secrets Manager, l'interfaccia a riga di comando o kit SDK AWS. Ad esempio, per modificare la password di un database, è sufficiente indicare il tipo di database, la frequenza delle modifiche e le credenziali master al momento della memorizzazione della password in Secrets Manager. Secrets Manager supporta nativamente la rotazione delle credenziali per database ospitati su Amazon RDS e Amazon DocumentDB e cluster ospitati su Amazon Redshift. Puoi estendere Secrets Manager per modificare altre chiavi segrete o modificare funzioni campione di Lambda. Ad esempio, puoi modificare periodicamente i token OAuth di aggiornamento utilizzati per autorizzare le applicazioni o le password utilizzate per i database MySQL in hosting in locale. Gli utenti e le applicazioni recuperano le chiavi segrete sostituendo le chiavi codificate con una chiamata all'API Secrets Manager, consentendo così l'automatizzazione della modifica periodica senza sacrificare la continuità delle applicazioni.

Recupero programmatico di chiavi segrete

Puoi memorizzare e utilizzare chiavi segrete utilizzando la console AWS Secrets Manager, SDK AWS, l'interfaccia a riga di comando (CLI) di AWS o AWS CloudFormation. Per recuperare le chiavi segrete, è sufficiente sostituire le chiavi memorizzate in testo semplice nelle applicazioni con il codice necessario per richiamarle con le API Secrets Manager. Il servizio fornisce codice di esempio per tali chiamate, disponibili anche alla pagina delle risorse Secrets Manager.  Puoi configurare gli endpoint di Amazon Virtual Private Cloud (VPC) per mantenere il traffico all'interno del tuo VPC e Secrets Manager nella rete AWS. Puoi anche utilizzare le librerie di caching lato client Secrets Manager per migliorare la disponibilità e la latenza d’uso delle tue chiavi segrete.

Audit e monitoraggio dell'uso delle chiavi segrete

AWS Secrets Manager permette di eseguire audit e monitorare le chiavi segrete utilizzando l'integrazione con i servizi AWS dedicati a registrazione di log, monitoraggio e notifiche. Ad esempio, dopo aver abilitato AWS CloudTrail in una determinata regione AWS, è possibile verificare quando una chiave segreta viene memorizzata o modificata controllando i log di AWS CloudTrail. Analogamente, è possibile configurare Amazon CloudWatch in modo da ricevere un'e-mail tramite Amazon Simple Notification Service quando una chiave segreta rimane inutilizzata a lungo, oppure configurare Amazon CloudWatch Events in modo da ricevere notifiche push quando Secrets Manager procede a una delle modifiche periodiche.

Conformità

Puoi utilizzare AWS Secrets Manager per gestire le chiavi segrete per carichi di lavoro soggetti agli Stati Uniti Health Insurance Portability and Accountability Act (HIPAA) e Payment Card Industry Data Security Standard (PCI-DSS) ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, o ISO 9001. Ulteriori informazioni sul programma di conformità e report AWS su Artefatto AWS.

Ulteriori informazioni sui prezzi di AWS Secrets Manager

Visita la pagina dei prezzi
Tutto pronto per cominciare?
Inizia a usare AWS Secrets Manager
Hai altre domande?
Contattaci