View a markdown version of this page

Sicurezza e autorizzazioni - AWS Secrets Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza e autorizzazioni

I segreti esterni gestiti non richiedono la condivisione dei privilegi a livello di amministratore degli account delle applicazioni di terze parti con.AWS Il processo di rotazione utilizza invece le credenziali e i metadati forniti dall'utente per effettuare chiamate API autorizzate all'applicazione di terze parti per l'aggiornamento e la convalida delle credenziali.

I segreti esterni gestiti mantengono gli stessi standard di sicurezza degli altri tipi di segreti di Secrets Manager. I valori segreti vengono crittografati quando sono inattivi utilizzando le chiavi KMS e in transito tramite TLS. L'accesso ai segreti è controllato tramite politiche IAM e politiche basate sulle risorse. Quando utilizzi una chiave gestita dal cliente per crittografare il tuo segreto, dovrai aggiornare la policy IAM relativa al ruolo di rotazione e la policy di fiducia CMK per fornire le autorizzazioni necessarie per garantire una rotazione di successo.

Affinché la rotazione funzioni correttamente, è necessario fornire a Secrets Manager autorizzazioni specifiche per gestire il ciclo di vita segreto. Queste autorizzazioni possono essere limitate a singoli segreti e seguire il principio del privilegio minimo. Il ruolo di rotazione fornito viene convalidato durante la configurazione e utilizzato esclusivamente per le operazioni di rotazione.

È possibile limitare l'ingresso IP alla risorsa esterna autorizzando l'elenco dei prefissi gestiti da Secrets AWS Manager solo nella regione in cui esiste il segreto. L'elenco dei prefissi è denominatocom.amazonaws.region.secretsmanager-managed-external-secrets, region dov'è la AWS regione del tuo segreto. L'utilizzo dell'elenco di prefissi gestiti garantisce che le regole di ingresso rimangano automaticamente aggiornate man mano che gli intervalli IP sottostanti cambiano.

Se preferisci fare riferimento all'elenco dei prefissi a livello di codice, puoi utilizzare l'GetManagedPrefixListEntriesAPI per elencare gli IP che devono essere inseriti nell'elenco consentito. È necessario aggiornare periodicamente le regole di ingresso con questo elenco di prefissi per mantenerle aggiornate.

AWS Secrets Manager offre anche soluzioni single touch per creare la policy IAM con le autorizzazioni necessarie per gestire il segreto durante la creazione del segreto tramite la console Secrets Manager. Le autorizzazioni per questo ruolo sono limitate per ogni partner di integrazione in ogni regione.

Esempio di politica sulle autorizzazioni:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRotationAccess", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue", "secretsmanager:UpdateSecretVersionStage" ], "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "secretsmanager:resource/Type": "SalesforceClientSecret" } } }, { "Sid": "AllowPasswordGenerationAccess", "Action": [ "secretsmanager:GetRandomPassword" ], "Resource": "*", "Effect": "Allow" } ] }

Nota: l'elenco dei tipi di segreti disponibili per secretsmanager: è disponibile in resource/Type Integration Partners.

Esempio di politica di fiducia:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecretsManagerPrincipalAccess", "Effect": "Allow", "Principal": { "Service": "secretsmanager.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:*" } } } ] }