Вопросы и ответы по AWS Secrets Manager

Что такое AWS Secrets Manager? 

AWS Secrets Manager – это сервис управления конфиденциальными данными, который помогает защитить доступ к приложениям, сервисам и ИТ‑ресурсам. Сервис предоставляет возможность простой ротации и извлечения данных для доступа к БД, ключей API и других конфиденциальных данных, а также управления ими на протяжении всего жизненного цикла. С помощью Secrets Manager можно обеспечить безопасность данных для доступа к ресурсам, находящимся в облаке AWS, сервисах сторонних поставщиков или локально, и управлять этими данными.

Для чего следует использовать AWS Secrets Manager? 

AWS Secrets Manager обеспечивает безопасный доступ к приложениям, сервисам и ИТ‑ресурсам без предварительных инвестиций и текущих расходов на обслуживание собственной инфраструктуры.

Secrets Manager предназначен для ИТ‑администраторов, которые ищут безопасный и масштабируемый способ хранения конфиденциальных данных и управления ими. Администраторы по безопасности, отвечающие за соблюдение нормативных и законодательных требований, могут использовать Secrets Manager для мониторинга конфиденциальных данных и их ротации без риска нарушить работу приложений. Разработчики, которым требуется убрать из приложений жестко заданные в коде данные для доступа, могут программно извлекать их из Secrets Manager.

Какие задачи можно выполнять с помощью AWS Secrets Manager?

AWS Secrets Manager позволяет централизованно хранить конфиденциальные данные, извлекать их, управлять доступом к ним, осуществлять ротацию, выполнять аудит и мониторинг таких данных.

Чтобы снизить вероятность просмотра конфиденциальной информации неавторизованными пользователями, можно использовать шифрование учетных данных при хранении. Чтобы извлечь учетные данные, необходимо просто заменить в приложениях данные для доступа, указанные как текст, на специальный код, позволяющий извлекать эти данные программно с помощью API Secrets Manager. Для управления пользователями и приложениями, которые могут получать доступ к этим конфиденциальным данным, используются политики AWS Identity and Access Management (IAM). Сервис позволяет выполнять ротацию паролей для поддерживаемых типов БД, размещенных на AWS, по расписанию или по требованию, не опасаясь нарушить работу приложений. Чтобы осуществлять ротацию других конфиденциальных данных, таких как пароли для БД Oracle, размещенных на Amazon EC2, или обновляемые токены OAuth, можно расширить функциональные возможности сервиса, изменив нужным образом предоставленные образцы функций Lambda. Дополнительно можно выполнять аудит и мониторинг конфиденциальных данных, поскольку Secrets Manager интегрирован с AWS CloudTrail, Amazon CloudWatch и Amazon Simple Notification Service (Amazon SNS).

Какими конфиденциальными данными можно управлять в AWS Secrets Manager?

Сервис позволяет управлять такими конфиденциальными данными, как данные для доступа к БД, локальным ресурсам или приложениям SaaS, ключи API сторонних разработчиков и ключи Secure Shell (SSH). Secrets Manager позволяет хранить документ JSON, в рамках которого можно управлять любыми текстовыми блоками размером до 64 КБ.

Ротацию каких конфиденциальных данных можно выполнять в AWS Secrets Manager?

Встроенные возможности сервиса позволяют осуществлять ротацию данных для доступа к Amazon Relational Database Service (RDS), Amazon DocumentDB и Amazon Redshift. Чтобы выполнять ротацию других конфиденциальных данных, например данных для доступа к БД Oracle, размещенной в Amazon EC2, или обновляемых токенов OAuth, можно расширить функциональные возможности сервиса, соответствующим образом изменив образцы функций AWS Lambda, которые доступны в документации Secrets Manager.

Каким образом приложение может использовать эти конфиденциальные данные?

Прежде всего необходимо написать политику AWS Identity and Access Management (IAM), которая разрешает приложению получать доступ к определенным конфиденциальным данным. После этого в исходном коде приложения можно заменить данные для доступа, указанные как текст, на специальный код, позволяющий извлекать эти данные программно с помощью API Secrets Manager. Подробные сведения и примеры см. в Руководстве пользователя AWS Secrets Manager.

Как начать работу с сервисом AWS Secrets Manager?

Чтобы начать работу с сервисом AWS Secrets Manager, выполните указанные ниже шаги.

1. Определите конфиденциальные данные, а также где именно они используются в приложениях.
2. Войдите в Консоль управления AWS с помощью данных для доступа к AWS и перейдите в консоль Secrets Manager.
3. Загрузите выявленные конфиденциальные данные с помощью консоли Secrets Manager. Для загрузки конфиденциальных данных можно также использовать AWS SDK или интерфейс командной строки AWS (по одному набору конфиденциальных данных за один раз). Кроме того, можно написать скрипт для загрузки нескольких наборов конфиденциальных данных.
4. Если конфиденциальные данные еще не используются, следуйте инструкциям в консоли для настройки их автоматической ротации. Если конфиденциальные данные уже используются в приложениях, перед настройкой автоматической ротации выполните шаги 5 и 6.
5. Если извлекать конфиденциальные данные требуется другим пользователям или приложениям, напишите политику AWS, чтобы предоставить им разрешения на доступ к соответствующим данным.
6. Обновите приложения, чтобы они могли извлекать конфиденциальные данные из Secrets Manager.
   

В каких регионах доступен сервис AWS Secrets Manager?

Актуальные сведения о доступности сервисов AWS по регионам см. в таблице регионов AWS.

Каким образом AWS Secrets Manager реализует ротацию данных для доступа к БД без нарушения работы приложений?

AWS Secrets Manager позволяет настраивать ротацию данных для доступа к БД по расписанию. Благодаря этому можно выполнять рекомендации по обеспечению безопасности и осуществлять ротацию данных для доступа к БД в защищенном режиме. Когда Secrets Manager инициирует ротацию, он использует предоставленные данные главного пользователя для доступа к БД и создает клон пользователя с теми же правами, но с другим паролем. После этого Secrets Manager передает сведения о клоне пользователя в адрес баз данных и приложений, которые извлекают данные для доступа к БД. Подробные сведения о ротации см. в Руководстве по ротации AWS Secrets Manager.

Нарушает ли ротация данных для доступа к БД работу текущих подключений?

Нет. Аутентификация осуществляется при установлении подключения. При ротации сервисом AWS Secrets Manager данных для доступа к БД не происходит повторной аутентификации существующих подключений к БД.

Как узнать, когда сервис AWS Secrets Manager осуществляет ротацию данных для доступа к БД?

Можно настроить Amazon CloudWatch Events и получать уведомления, когда AWS Secrets Manager осуществляет ротацию конфиденциальных данных. Кроме того, с помощью консоли или API Secrets Manager можно просматривать, когда выполнялась последняя ротация конфиденциальных данных.  

Каким образом AWS Secrets Manager обеспечивает безопасность конфиденциальных данных?

AWS Secrets Manager выполняет шифрование при хранении с помощью принадлежащих пользователю ключей шифрования, которые хранятся в AWS Key Management Service (KMS). Управлять доступом к конфиденциальным данным можно с помощью политик сервиса AWS Identity and Access Management (IAM). При извлечении конфиденциальных данных Secrets Manager дешифрует их и передает по безопасному соединению TLS в локальную среду пользователя. По умолчанию Secrets Manager не записывает конфиденциальные данные в постоянное хранилище и не кэширует их.

Кто может использовать конфиденциальные данные, загруженные в AWS Secrets Manager, и управлять ими?

Для управления разрешениями на доступ пользователей и приложений к извлечению конфиденциальных данных и управлению ими можно использовать политики сервиса AWS Identity and Access Management (IAM). Например, можно создать политику, которая позволяет разработчикам извлекать данные для доступа, использующиеся в среде разработки. Подробные сведения см. в разделе Authentication and Access Control for AWS Secrets Manager.

Каким образом AWS Secrets Manager выполняет шифрование конфиденциальных данных?

AWS Secrets Manager использует для шифрования конфиденциальных данных с помощью сервиса AWS Key Management Service (KMS) конвертное шифрование (алгоритм шифрования AES‑256).

При первом использовании Secrets Manager можно указать ключи AWS KMS для шифрования конфиденциальных данных. Если ключи KMS не указаны, Secrets Manager автоматически создает ключи AWS KMS по умолчанию для соответствующего аккаунта. При хранении конфиденциальных данных Secrets Manager запрашивает у KMS текстовые и зашифрованные ключи данных. Для шифрования конфиденциальных данных в памяти Secrets Manager использует текстовый ключ данных. AWS Secrets Manager хранит и поддерживает зашифрованные конфиденциальные данные и зашифрованные ключи данных. При извлечении конфиденциальных данных AWS Secrets Manager дешифрует ключ данных (с помощью ключей AWS KMS по умолчанию) и использует незашифрованный ключ данных для дешифрования конфиденциальных данных. Ключ данных хранится в зашифрованном виде и никогда не записывается на диск без шифрования. Кроме того, Secrets Manager не записывает конфиденциальные данные в постоянное хранилище и не кэширует их.

Каков принцип оплаты пользования сервисом AWS Secrets Manager?

Используя Secrets Manager, вы платите только за то, чем пользуетесь, без минимальных платежей. Для начала работы с сервисом не требуются предоплата или какие‑либо обязательства. В конце месяца с указанной кредитной карты будет автоматически снята сумма за пользование сервисом по итогам месяца. Плата начисляется ежемесячно на основании количества хранящихся конфиденциальных данных и выполненных запросов API в адрес сервиса.

Сведения о действующих тарифах см. на странице цен на AWS Secrets Manager.

Существует ли бесплатная пробная версия?

Да, сервис AWS Secrets Manager доступен в виде бесплатной 30‑дневной пробной версии. Бесплатная пробная версия позволяет осуществлять ротацию конфиденциальных данных, управлять ими и извлекать их в течение 30 дней. Период использования бесплатной пробной версии начинается при сохранении первых конфиденциальных данных.