Bewährte Methoden zur Verschlüsselung für AWS Secrets Manager

Mit AWS Secrets Manager können Sie fest codierte Anmeldeinformationen im Code (einschließlich Passwörter) durch einen API-Aufruf an Secrets Manager ersetzen und das Geheimnis programmgesteuert abrufen. Secrets Manager lässt sich integrieren AWS KMS , um jede Version jedes geheimen Werts mit einem eindeutigen Datenschlüssel zu verschlüsseln, der durch einen AWS KMS key geschützt ist. Diese Integration schützt gespeicherte Geheimnisse mit Verschlüsselungsschlüsseln, die niemals AWS KMS unverschlüsselt bleiben. Sie können auch benutzerdefinierte Berechtigungen für den KMS-Schlüssel definieren, um die Vorgänge zu prüfen, die die Datenschlüssel zum Schutz gespeicherter Geheimnisse erzeugen, verschlüsseln und entschlüsseln. Weitere Informationen finden Sie unter Verschlüsseln und Entschlüsseln von Geheimnissen in AWS Secrets Manager.

Bedenken Sie die folgenden bewährten Verschlüsselungsmethoden für diesen Service:

• In den meisten Fällen empfehlen wir, den aws/secretsmanager AWS verwalteten Schlüssel zum Verschlüsseln von Geheimnissen zu verwenden. Für die Nutzung fallen keine Kosten an.

• Um von einem anderen Konto aus auf ein Geheimnis zugreifen oder eine Schlüsselrichtlinie auf den Verschlüsselungsschlüssel anwenden zu können, verwenden Sie einen vom Kunden verwalteten Schlüssel, um das Geheimnis zu verschlüsseln.

  • Weisen Sie in der Schlüsselrichtlinie dem ViaService Bedingungsschlüssel kms: den Wert secretsmanager.<region>.amazonaws.com zu. Dadurch wird die Verwendung des Schlüssels auf Anfragen von Secrets Manager beschränkt.

  • Um die Verwendung des Schlüssels weiter auf Anfragen von Secrets Manager mit dem richtigen Kontext zu beschränken, verwenden Sie Schlüssel oder Werte im Secrets Manager Manager-Verschlüsselungskontext als Bedingung für die Verwendung des KMS-Schlüssels, indem Sie Folgendes erstellen:

    • Ein String-Bedingungsoperator in einer IAM-Richtlinie oder Schlüsselrichtlinie

    • Eine Vergabeeinschränkung in einer Vergabe