Armazenamento seguro de segredos

O AWS Secrets Manager criptografa segredos ociosos usando chaves de criptografia das quais você é proprietário e armazena no AWS Key Management Service (KMS). Quando você recupera um segredo, o Secrets Manager descriptografa o segredo e o transmite com segurança por meio de TLS ao seu ambiente local. Por padrão, o Secrets Manager não grava nem armazena em cache o segredo em armazenamento persistente. Além disso, você pode controlar o acesso ao segredo usando as políticas do AWS Identity and Access Management (IAM).

Alternância automática de segredos sem afetar aplicativos

Com o AWS Secrets Manager, você pode alternar segredos de forma programada ou sob demanda usando o console do Secrets Manager, bem como o SDK e a ILC da AWS. Por exemplo, para alternar uma senha de banco de dados, você informa o tipo de banco de dados, a frequência de alternância e as credenciais mestre do banco de dados ao armazenar a senha no Secrets Manager. Você também pode ampliar essa funcionalidade para alternar outros segredos modificando os exemplos de funções do Lambda. Por exemplo, você pode alternar tokens de atualização do OAuth usados para autorizar aplicativos ou senhas usados em bancos de dados MySQL hospedados no local. Os usuários e os aplicativos recuperam segredos substituindo segredos codificados com uma chamada às APIs do Secrets Manager, o que permite automatizar a alternância de segredos e garantir que os aplicativos executem sem interrupções.

Recuperação programática de segredos

Você pode armazenar e recuperar segredos usando o console do AWS Secrets Manager e o SDK ou a ILC da AWS. Para recuperar segredos, basta substituir segredos em texto simples nos aplicativos por código para recuperar programaticamente esses segredos usando as APIs do Secrets Manager. O Secrets Manager fornece exemplos de código para chamar as APIs do Secrets Manager, também disponíveis na página de recursos do Secrets Manager.

Audite e monitore o uso de segredos

O AWS Secrets Manager permite auditar e monitorar segredos por meio da integração com os serviços de registro em log, monitoramento e notificação da AWS. Por exemplo, depois de habilitar o AWS CloudTrail em uma região da AWS, você pode auditar quando um segredo é armazenado ou alternado visualizando os logs do AWS CloudTrail. De forma semelhante, você pode configurar o Amazon CloudWatch para receber mensagens de e-mail usando o Amazon Simple Notification Service os segredos não são usados por um período. Ou configurar o Amazon CloudWatch Events para receber notificações por push quando o Secrets Manager alterna os segredos.

Saiba mais sobre a definição de preço do AWS Secrets Manager

Acesse a página de definição de preço