Безопасное хранение конфиденциальных данных

AWS Secrets Manager выполняет шифрование конфиденциальных данных при хранении с помощью принадлежащих пользователю ключей шифрования, которые хранятся в AWS Key Management Service (KMS). При извлечении конфиденциальных данных Secrets Manager дешифрует их и передает по безопасному соединению TLS в локальную среду пользователя. По умолчанию Secrets Manager не записывает конфиденциальные данные в постоянное хранилище и не кэширует их. Управлять доступом к конфиденциальным данным можно с помощью точно настроенных политик сервиса AWS Identity and Access Management (IAM).

Автоматическая ротация конфиденциальных данных без нарушения работы приложений

Благодаря AWS Secrets Manager можно осуществлять ротацию конфиденциальных данных по расписанию или по требованию с помощью консоли Secrets Manager, AWS SDK или интерфейса командной строки AWS. К примеру, для ротации пароля БД при сохранении его в Secrets Manager необходимо указать тип БД, периодичность ротации и данные главного пользователя для доступа к БД. Чтобы осуществлять ротацию других конфиденциальных данных, можно расширить функциональные возможности сервиса, изменив предоставленные образцы функций Lambda. Например, можно выполнять ротацию обновляемых токенов OAuth, которые используются для авторизации приложений, или паролей для БД MySQL, размещенной локально. После замены жестко заданных учетных данных на соответствующий код пользователи и приложения извлекают нужные данные посредством вызова API Secrets Manager, что позволяет автоматизировать ротацию конфиденциальных данных без прерывания работы приложений.

Программное извлечение конфиденциальных данных

Хранить и извлекать конфиденциальные данные можно с помощью консоли AWS Secrets Manager, AWS SDK или интерфейса командной строки AWS. Чтобы извлечь учетные данные, необходимо просто заменить в приложениях данные для доступа, указанные как текст, на специальный код, позволяющий извлекать эти данные программно с помощью API Secrets Manager. Secrets Manager предоставляет образцы кода для вызова API Secrets Manager, которые также доступны на странице ресурсов по AWS Secrets Manager.

Аудит и мониторинг использования конфиденциальных данных

AWS Secrets Manager позволяет осуществлять аудит и мониторинг конфиденциальных данных благодаря интеграции с сервисами AWS для ведения журналов, мониторинга и уведомлений. Например, после включения AWS CloudTrail для соответствующего региона AWS можно проверить, когда выполняется хранение или ротация конфиденциальных данных, просмотрев журналы AWS CloudTrail. Аналогичным образом можно настроить Amazon CloudWatch, чтобы с помощью Amazon Simple Notification Service получать сообщения электронной почты, если конфиденциальные данные не используются в течение определенного периода времени, или настроить Amazon CloudWatch Events, чтобы получать push-уведомления при ротации конфиденциальных данных сервисом Secrets Manager.

Подробнее о ценах на AWS Secrets Manager

Перейти на страницу цен
Готовы приступить к разработке?
Начать работу с AWS Secrets Manager
Есть вопросы?
Свяжитесь с нами