Возможности Менеджера секретов AWS

Менеджер секретов AWS выполняет шифрование конфиденциальных данных при хранении с помощью принадлежащих пользователю ключей шифрования, которые хранятся в Сервисе управления ключами AWS (AWS KMS). 

• При извлечении конфиденциальных данных Менеджер секретов дешифрует их и передает по безопасному соединению TLS в локальную среду пользователя.
• Менеджер секретов интегрируется с Управлением идентификацией и доступом AWS (IAM) для контроля за доступом к конфиденциальным данным с помощью точно настроенных политик сервиса и политик на основе ресурсов.

Благодаря Менеджеру секретов AWS можно осуществлять ротацию конфиденциальных данных по расписанию или по требованию с помощью консоли Менеджера секретов, AWS SDK или интерфейса командной строки AWS. 

• Менеджер секретов по умолчанию поддерживает ротацию данных пользователей для доступа к БД, размещенной на Amazon RDS и Amazon DocumentDB, и кластерам, размещенным на Amazon Redshift.
  
• Чтобы осуществлять ротацию секретов, используемых с другими сервисами AWS или 3P, можно расширить функциональные возможности Менеджера секретов, изменив предоставленные образцы функций Lambda.

С помощью Менеджера секретов AWS можно автоматически реплицировать конфиденциальные данные в несколько регионов AWS, чтобы обеспечить соответствие вашим уникальным требованиям к аварийному восстановлению и межрегиональной избыточности. Укажите регионы AWS, в которых нужно создать реплики конфиденциальных данных, и Менеджер секретов безопасно создаст региональные реплики для чтения, устраняя необходимость в обслуживании сложного решения, предназначенного для этой цели. Вы можете предоставить вашим межрегиональным приложениям доступ к реплицированным конфиденциальным данным в требуемых регионах, а Менеджер секретов будет синхронизировать их с основным экземпляром конфиденциальных данных.

Создавайте приложения, уделяя особое внимание безопасности конфиденциальных данных.

• Менеджер секретов предоставляет образцы кода для вызова API Менеджера секретов на распространенных языках программирования. Существует два типа API для получения конфиденциальных данных.
  • Получите одну единицу конфиденциальных данных по имени или ARN.
  • Получите группу конфиденциальных данных, предоставив список имен или ARN либо критерии фильтрации, такие как теги.
• Настройте адреса виртуального частного облака (VPC) таким образом, чтобы трафик между VPC и Менеджером секретов не выходил за пределы сети AWS.
• Кроме того, вы можете использовать библиотеки кэширования Менеджера секретов на стороне клиента для оптимизации доступности и уменьшения задержки во время извлечения секретов.

Менеджер секретов AWS позволяет осуществлять аудит и мониторинг конфиденциальных данных благодаря интеграции с сервисами AWS для ведения журналов, мониторинга и уведомлений. Например, после включения AWS CloudTrail для соответствующего региона AWS можно проверить, когда выполняется создание или ротация конфиденциальных данных, просмотрев журналы AWS CloudTrail. Аналогичным образом можно настроить Amazon CloudWatch, чтобы с помощью Простого сервиса уведомлений Amazon получать сообщения электронной почты, если конфиденциальные данные не используются в течение определенного периода времени, или настроить события Amazon CloudWatch, чтобы получать push-уведомления при ротации конфиденциальных данных Менеджером секретов.

Вы можете использовать Менеджер секретов AWS для обеспечения соответствия нормативным требованиям.

• Используйте правила AWS Config, чтобы убедиться в том, что ваши секреты настроены в соответствии с требованиями вашей организации к безопасности и с соблюдением нормативных актов.
• Управляйте секретами для рабочих нагрузок, на которые распространяется действие Руководства по соблюдению требований к безопасности Министерства обороны США для облачных вычислений (DoD CC SRG IL2, DoD CC SRG IL4 и DoD CC SRG IL5), Федеральной программы управления рисками и авторизацией (FedRAMP), Акта о передаче и защите данных учреждений здравоохранения США (HIPAA), Программы зарегистрированных экспертов по оценке систем информационной безопасности (IRAP), Отчета об аудиторской проверке стороннего поставщика сервисов (OSPAR), стандартов ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 и ISO 9001, Стандарта безопасности данных индустрии платежных карт (PCI-DSS) или System and Organization Control (SOC).
• Просмотрите подробные сведения о программе соответствия AWS и отчет в AWS Artifact.

Сервисы AWS интегрируются с Менеджером секретов для безопасного управления учетными данными. Благодаря этим интеграциям вы можете безопасно обмениваться учетными данными с различными сервисами AWS. Учетные данные, хранящиеся в Менеджере секретов, шифруются либо с помощью ключей KMS, управляемых AWS, либо с помощью ключей, управляемых клиентом. Менеджер секретов регулярно осуществляет ротацию секретов для обеспечения высокого уровня безопасности. После сохранения конфиденциальных данных в Менеджере секретов вы сможете предоставлять сервисам AWS их номера ARN вместо учетных данных в обычном текстовом формате. Ниже представлены сервисы, которые поддерживают безопасный обмен учетными данными с Менеджером секретов.