Perguntas frequentes sobre o AWS Secrets Manager

O que é o AWS Secrets Manager? 

O AWS Secrets Manager é um serviço de gerenciamento de segredos que ajuda a proteger o acesso a aplicativos, serviços e recursos de TI. O serviço permite alternar, gerenciar e recuperar facilmente credenciais de banco de dados, chaves de API e outros segredos durante seu ciclo de vida. Usando o Secrets Manager, você pode proteger e gerenciar segredos usados para acessar recursos na Nuvem AWS, em serviços de terceiros e no local.

Por que devo usar o AWS Secrets Manager? 

O AWS Secrets Manager protege o acesso a aplicativos, serviços e recursos de TI, sem os investimentos iniciais e os custos de manutenção contínuos da operação de uma infraestrutura própria.

O Secrets Manager é destinado a administradores de TI que procuram um método seguro e escalável de armazenar e gerenciar segredos. Os administradores de segurança responsáveis por cumprir requisitos normativos e de conformidade podem usar o Secrets Manager para monitorar e alternar segredos, sem o risco de afetar aplicativos. Os desenvolvedores que querem substituir segredos codificados nos aplicativos podem recuperá-los programaticamente do Secrets Manager.

P: O que posso fazer com o AWS Secrets Manager?

O AWS Secrets Manager permite armazenar, recuperar, controlar o acesso, alternar, auditar e monitorar segredos de forma centralizada.

Você pode criptografar segredos ociosos para reduzir a probabilidade de visualização de informações confidenciais por usuários não autorizados. Para recuperar segredos, basta substituir segredos em texto simples nos aplicativos por código para recuperar programaticamente esses segredos usando as APIs do Secrets Manager. Você usa políticas do AWS Identity and Access Management (IAM) para controlar quais usuários e aplicativos podem acessar esses segredos. É possível alternar senhas, de forma programada ou sob demanda, para os tipos de banco de dados compatíveis hospedados na AWS, sem o risco de afetar aplicativos. Para estender essa funcionalidade para alternar outros segredos, como senhas para bancos de dados Oracle hospedados no Amazon EC2 ou tokens de atualização do OAuth, basta modificar exemplos de funções Lambda. Você também pode auditar e monitorar segredos, pois o Secrets Manager está integrado aos serviços AWS CloudTrail, Amazon CloudWatch e Amazon Simple Notification Service (Amazon SNS).

Quais segredos posso gerenciar no AWS Secrets Manager?

É possível gerenciar os segredos, como credenciais de banco de dados, credenciais de recursos locais, credenciais de aplicações SaaS, chaves de API de terceiros e chaves Secure Shell (SSH). O Secrets Manager permite armazenar um documento JSON para gerenciar qualquer fragmento de texto com até 64 KB.

Quais segredos posso alternar com o AWS Secrets Manager?

Você pode alternar nativamente credenciais para os serviços Amazon Relational Database Service (RDS), Amazon DocumentDB e Amazon Redshift. O Secrets Manager pode ser estendido para alternar outros segredos, como credenciais de bancos de dados Oracle hospedados no EC2 ou tokens de atualização do OAuth, modificando os exemplos de funções AWS Lambda disponíveis na documentação do Secrets Manager.

Como os aplicativos usam esses segredos?

Primeiro, é preciso criar uma política do AWS Identity and Access Management (IAM) que permite que os aplicativos acessem segredos específicos. Em seguida, no código-fonte do aplicativo, você pode substituir segredos em texto simples com código para recuperá-los programaticamente usando as APIs do Secrets Manager. Para ver os detalhes completos e os exemplos, consulte o guia do usuário do AWS Secrets Manager.

Como faço para começar a usar o AWS Secrets Manager?

Para começar a usar o AWS Secrets Manager:

1. Identifique os segredos e os locais onde são usados nos aplicativos.
2. Faça login no Console de Gerenciamento da AWS usando suas credenciais da AWS e navegue até o console do Secrets Manager.
3. Use o console do Secrets Manager para fazer upload dos segredos identificados. Como alternativa, você pode usar o SDK ou a ILC da AWS para fazer upload de um segredo (uma vez para cada segredo). Também é possível criar um script para fazer upload de vários segredos.
4. Se o segredo ainda não estiver em uso, siga as instruções do console para configurar a alternância automática. Se os aplicativos já estiverem usando o segredo, execute as etapas 5 e 6 antes de configurar a alternância automática.
5. Se outros usuários ou aplicativos precisarem alterar o segredo, crie uma política do IAM para conceder permissões para o segredo.
6. Atualize os aplicativos para recuperar segredos do Secrets Manager.
   

P: Em quais regiões o AWS Secrets Manager está disponível?

Acesse a tabela de regiões da AWS para consultar a disponibilidade regional atual dos serviços da AWS.

Como o AWS Secrets Manager implementa a alternância de credenciais de banco de dados sem afetar os aplicativos?

O AWS Secrets Manager permite configurar a alternância programada de credenciais de banco de dados. Dessa forma, você segue as melhores práticas de segurança e alterna as credenciais do banco de dados com segurança. Quando o Secrets Manager inicia uma alternância, usa as credenciais super de banco de dados que você forneceu para criar um usuário clonado com os mesmos privilégios, mas com uma senha diferente. Em seguida, o Secrets Manager envia ao usuário clone as informações para que bancos de dados e aplicativos recuperem as credenciais de banco de dados. Para saber mais sobre a alternância, consulte o guia de alternância do AWS Secrets Manager.

A alternância de credenciais de banco de dados afeta as conexões abertas?

Não. A autenticação ocorre no momento em que a conexão é estabelecida. Quando o AWS Secrets Manager alterna uma credencial de banco de dados, a conexão de banco de dados aberta não é autenticada novamente.

Como posso saber quando o AWS Secrets Manager alterna uma credencial de banco de dados?

Você pode configurar o Amazon CloudWatch Events para receber uma notificação quando o AWS Secrets Manager alterna um segredo. Você também pode usar o console ou as APIs do Secrets Manager para ver quando o Secrets Manager alternou um segredo pela última vez.  

Como o AWS Secrets Manager mantém a segurança dos segredos?

O AWS Secrets Manager criptografa segredos ociosos usando chaves de criptografia das quais você é proprietário e armazena no AWS Key Management Service (KMS). É possível controlar o acesso ao segredo usando as políticas do AWS Identity and Access Management (IAM). Quando você recupera um segredo, o Secrets Manager o descriptografa e o transmite com segurança por meio de TLS ao seu ambiente local. Por padrão, o Secrets Manager não grava nem armazena em cache o segredo em armazenamento persistente.

Quem pode usar e gerenciar segredos no AWS Secrets Manager?

Você pode usar políticas do AWS Identity and Access Management (IAM) para controlar as permissões de acesso de usuários e aplicativos para recuperar ou gerenciar segredos específicos. Por exemplo, você pode criar uma política que permite que desenvolvedores recuperem apenas os segredos usados para o ambiente de desenvolvimento. Para saber mais, acesse Autenticação e controle de acesso do AWS Secrets Manager.

Como o AWS Secrets Manager criptografa os segredos?

O AWS Secrets Manager criptografia de envelope (algoritmo de criptografia AES-256) para criptografar segredos no AWS Key Management Service (KMS).

Quando você usa o Secrets Manager pela primeira vez, pode especificar as chaves AWS KMS para criptografar os segredos. Se você não fornecer uma chave KMS, o Secrets Manager criará automaticamente chaves padrão do AWS KMS para a conta. Quando um segredo é armazenado, o Secrets Manager solicita uma chave de dados em texto simples e criptografada do KMS. O Secrets Manager usa a chave de dados em texto simples para criptografar o segredo na memória. O AWS Secrets Manager armazena e mantém o segredo criptografado e a chave de dados criptografada. Quando um segredo é recuperado, o Secrets Manager descriptografa a chave de dados (usando as chaves padrão do AWS KMS) e usa a chave de dados em texto simples para descriptografar o segredo. A chave de dados é armazenada criptografada e nunca é gravada em disco em texto simples. Além disso, o Secrets Manager não grava nem armazena em cache o segredo em texto simples em armazenamento persistente.

Como serei cobrado e faturado pelo uso do AWS Secrets Manager?

Com o Secrets Manager, você paga somente pelo que usar. Não há taxa mínima. Não há taxas de instalação ou compromissos para começar a usar o serviço. No final do mês, seu cartão de crédito receberá a cobrança automática referente ao uso daquele mês. Você é cobrado pelo número de segredos armazenados e de solicitações de API efetuadas ao serviço a cada mês.

Para obter as informações atuais de definição de preço, consulte a definição de preços do AWS Secrets Manager.

P: Há um teste gratuito?

Sim. Você pode experimentar o Secrets Manager sem custos adicionais durante o período de teste gratuito de 30 dias do AWS Secrets Manager. O teste gratuito permite alternar, gerenciar e recuperar segredos durante o período de 30 dias. O teste gratuito começa quando você armazena o primeiro segredo.