Was ist AWS Secrets Manager?

AWS Secrets Manager hilft Ihnen, Datenbankanmeldeinformationen, Anwendungsanmeldeinformationen, OAuth-Token, API-Schlüssel und andere Secrets während ihres gesamten Lebenszyklus zu verwalten, abzurufen und zu rotieren. Viele - AWS Services speichern und verwenden Secrets in Secrets Manager.

Secrets Manager hilft Ihnen, Ihre Sicherheitslage zu verbessern, da hartcodierte Anmeldeinformationen im Quellcode der Anwendung nicht mehr innerhalb oder mit der Anwendung gespeichert werden. Das Speichern der Anmeldeinformationen im Secrets Manager trägt dazu bei, eine mögliche Kompromittierung durch jemanden zu verhindern, der Ihre Anwendung oder die Komponenten inspizieren kann. Mit Secrets Manager können Sie hartkodierten Anmeldeinformationen durch einen Laufzeitaufruf des Secrets-Manager-Webservice ersetzen und somit die Anmeldeinformationen bei Bedarf dynamisch abrufen.

Mit Secrets Manager können Sie einen automatischen Rotationsplan für Ihre Secrets konfigurieren. Dies ermöglicht es Ihnen, langfristige Secrets durch kurzfristige zu ersetzen, was das Risiko einer Kompromittierung erheblich verringert. Da die Anmeldeinformationen nicht mehr in der Anwendung gespeichert werden, müssen für rotierende Anmeldeinformationen Ihre Anwendungen nicht mehr aktualisiert und Änderungen an den Anwendungsclients bereitgestellt werden.

Für andere Arten von Secrets, die Sie in Ihrer Organisation haben könnten:

• AWS -Anmeldeinformationen – Wir empfehlen AWS Identity and Access Management.

• Verschlüsselungsschlüssel – Wir empfehlen AWS Key Management Service.

• SSH-Schlüssel – Amazon EC2 Instance Connect.

• Private Schlüssel und Zertifikate – AWS Certificate Manager.

Erste Schritte mit Secrets Manager

Wenn Sie Secrets Manager noch nicht kennen, beginnen Sie mit AWS Secrets Manager-Konzepte oder einem der folgenden Tutorials:

• Fest codierte Secrets in AWS Secrets Manager verschieben

• Verschieben Sie hartcodierte Datenbankanmeldedaten nach AWS Secrets Manager

• Einrichten der Drehung wechselnder Benutzer für AWS Secrets Manager

• Einrichten der Einzelbenutzer-Drehung für AWS Secrets Manager

Andere Aufgaben, die Sie mit Secrets erledigen können:

• Erstellen und Verwalten von Secrets

• Zugriff auf Ihre Secrets steuern

• Abrufen von Secrets

• Rotieren von -Geheimnissen

• Überwachung von Geheimnissen

• Prüfen von Secrets auf Compliance

• Erstellen von Secrets in AWS CloudFormation

Einhaltung von Standards

AWS Secrets Manager wurde einer Prüfung für die verschiedenen Standards unterzogen und kann Teil Ihrer Lösung sein, wenn Sie eine Compliance-Zertifizierung benötigen. Weitere Informationen finden Sie unter Compliance-Validierung für AWS Secrets Manager.

Preisgestaltung

Bei der Nutzung von Secrets Manager zahlen Sie nur für das, was Sie nutzen, ohne Mindest- oder Einrichtungsgebühren. Es fallen keine Gebühren für Secrets an, die zum Löschen markiert wurden. Die aktuelle vollständige Preisliste finden Sie unter AWS Secrets Manager – Preise.

Sie können die Von AWS verwalteter Schlüssel aws/secretsmanager verwenden, die Secrets Manager erstellt, um Ihre Secrets kostenlos zu verschlüsseln. Wenn Sie eigene KMS-Schlüssel zur Verschlüsselung Ihrer Secrets erstellen, AWS berechnet Ihnen die aktuelle AWS KMS Rate. Weitere Informationen finden Sie unter AWS Key Management Service -Preisgestaltung.

Wenn Sie die automatische Drehung aktivieren (außer verwaltete Drehung), verwendet Secrets Manager eine - AWS Lambda Funktion, um das Secret zu rotieren, und Ihnen wird die Drehungsfunktion zum aktuellen Lambda-Tarif in Rechnung gestellt. Weitere Informationen finden Sie unter AWS Lambda -Preisgestaltung.

Wenn Sie AWS CloudTrail für Ihr Konto aktivieren, können Sie Protokolle der API-Aufrufe abrufen, die Secrets Manager sendet. Secrets Manager protokolliert alle Ereignisse als Verwaltungsereignisse. AWS CloudTrail speichert die erste Kopie aller Verwaltungsereignisse kostenlos. Es können jedoch Gebühren für Amazon S3 für die Speicherung der Protokolle und für Amazon SNS anfallen, wenn Sie die Benachrichtigung aktivieren. Wenn Sie zusätzliche Trails einrichten, können zudem für die zusätzlichen Kopien von Verwaltungsereignissen Kosten anfallen. Weitere Informationen finden Sie unter AWS CloudTrail Preise.

AWS -Services, die AWS Secrets Manager Secrets verwenden

• AWS App Runner – Siehe Referenzieren von Umgebungsvariablen und Verwalten von Umgebungsvariablen im Entwicklerhandbuch vonAWS App Runner .

• AWS App2Container – Siehe Verwalten von Secrets für AWS App2Container im AWS App2Container-Benutzerhandbuch.

• AWS AppConfig – Siehe Erstellen eines Freiform-Konfigurationsprofils im Benutzerhandbuch vonAWS AppConfig .

• Amazon AppFlow – Siehe Von anderen AWS-Services verwaltete AWS Secrets Manager-Secrets.

• AWS AppSync – Siehe Tutorial: Aurora Serverless im Entwicklerhandbuch vonAWS AppSync .

• Amazon Athena – Siehe Verwenden der Verbundabfrage von Amazon Athena im Benutzerhandbuch von Amazon Athena.

• Amazon Aurora – Siehe Von anderen AWS-Services verwaltete AWS Secrets Manager-Secrets.

• AWS CodeBuild – Siehe Private Registrierung mit AWS Secrets Manager Beispiel für CodeBuild im AWS CodeBuild -Benutzerhandbuch.

• AWS DataSync – Siehe Von anderen AWS-Services verwaltete AWS Secrets Manager-Secrets.

• Amazon DataZone – Siehe Erstellen einer Datenquelle für eine Amazon-Redshift-Datenbank mithilfe einer neuen AWS Glue Verbindung im Amazon- DataZone Benutzerhandbuch.

• AWS Direct Connect – Siehe Von anderen AWS-Services verwaltete AWS Secrets Manager-Secrets.

• AWS Directory Service – Siehe Nahtloses Verbinden einer Linux-EC2-Instance mit Ihrem Verzeichnis in AWS Managed Microsoft AD, Nahtloses Verbinden einer Linux-EC2-Instance mit Ihrem AD-Connector-Verzeichnis und Nahtloses Verbinden einer Linux-EC2-Instance mit Ihrem Simple-AD-Verzeichnis im AWS Direct Connect Benutzerhandbuch für .

• Amazon DocumentDB (mit MongoDB-Kompatibilität) – Siehe Erstellen Sie ein AWS Secrets Manager Datenbankgeheimnis und Verwalten von Amazon-DocumentDB-Benutzern im Entwicklerhandbuch von Amazon DocumentDB.

• AWS Elastic Beanstalk – Siehe Docker-Konfiguration im Entwicklerhandbuch vonAWS Elastic Beanstalk .

• Amazon Elastic Container Registry – Weitere Informationen finden Sie unter Erstellen einer Pull-Through-Cache-Regel im Amazon-ECR-Benutzerhandbuch.

• Amazon Elastic Container Service – Siehe Tutorial: Angeben vertraulicher Daten mithilfe von Secrets-Manager-Secrets, Programmgesteuertes Abrufen von Secrets über Ihre Anwendung, Abrufen von Secrets über Umgebungsvariablen, Abrufen von Secrets für die Protokollierung der Konfiguration, Tutorial: Verwenden von Dateisystemen von FSx for Windows File Server mit Amazon ECS, Volumes von FSx for Windows File Server und Private Registrierungsauthentifizierung für Aufgaben im Entwicklerhandbuch von Amazon Elastic Container Service.

• Amazon Elastic Container Service Connect – Siehe Von anderen AWS-Services verwaltete AWS Secrets Manager-Secrets.

• Amazon ElastiCache – Siehe Automatisch rotierende Passwörter für Benutzer im Amazon- ElastiCache Benutzerhandbuch.

• AWS Elemental Live – Siehe So MediaConnect funktioniert die Bereitstellung von AWS Elemental Live an zur Laufzeit im Elemental-Live-Benutzerhandbuch.

• AWS Elemental MediaConnect – Weitere Informationen finden Sie unter Verschlüsselung mit statischem Schlüssel in AWS Elemental MediaConnect im AWS Elemental MediaConnect -Benutzerhandbuch.

• AWS Elemental MediaConvert – Siehe Verwenden von Kantar für Audio-Wasserzeichen in AWS Elemental MediaConvert Ausgaben im AWS Elemental MediaConvert -Benutzerhandbuch.

• AWS Elemental MediaLive – Siehe Einrichten von MediaLive als vertrauenswürdige Entität im MediaLive -Benutzerhandbuch.

• AWS Elemental MediaPackage – Siehe Secrets Manager-Zugriff für CDN-Autorisierung im AWS Elemental MediaPackage -Benutzerhandbuch.

• AWS Elemental MediaTailor – Siehe Konfigurieren der AWS Secrets Manager Zugriffstoken-Authentifizierung im AWS Elemental MediaTailor -Benutzerhandbuch.

• Amazon EMR in Amazon EC2 – Siehe Speichern sensibler Konfigurationsdaten in Secrets Manager und Hinzufügen eines Git-basierten Repositorys zu Amazon EMR im Managementhandbuch von Amazon EMR.

• EMR Serverless – Siehe Secrets Manager für Datenschutz mit EMR Serverless im Benutzerhandbuch von Amazon EMR Serverless.

• Amazon EventBridge – Siehe Von anderen AWS-Services verwaltete AWS Secrets Manager-Secrets.

• Amazon FSx – Siehe Dateifreigaben und Migrieren von Dateifreigabekonfigurationen zu Amazon FSx im Benutzerhandbuch von Amazon FSx für Windows File Server.

• AWS Glue DataBrew – Siehe Von anderen AWS-Services verwaltete AWS Secrets Manager-Secrets.

• AWS Glue Studio – Siehe Tutorial: Verwenden des - AWS Glue-Connectors für Elasticsearch im AWS Glue -Entwicklerhandbuch.

• AWS IoT SiteWise – Siehe Konfigurieren der Datenquellenauthentifizierung im Benutzerhandbuch vonAWS IoT SiteWise .

• Amazon Kendra – Siehe Verwenden einer Datenbankdatenquelle im Benutzerhandbuch von Amazon Kendra.

• Amazon Kinesis Video Streams – Siehe Bereitstellen des Edge-Agents von Amazon Kinesis Video Streams in AWS IoT Greengrass im Entwicklerhandbuch von Amazon Kinesis Video Streams.

• AWS Launch Wizard – Siehe Einrichten von AWS Launch Wizard für Active Directory im AWS Launch Wizard -Benutzerhandbuch.

• Amazon Lookout für Metrics – Siehe Verwenden von Amazon RDS mit Lookout für Metrics und Verwenden von Amazon Redshift mit Lookout für Metrics im Entwicklerhandbuch von Amazon Lookout für Metrics.

• Amazon Managed Grafana – Siehe Konfigurieren von Amazon Redshift im Benutzerhandbuch von Amazon Managed Grafana.

• AWS Managed Services – Siehe AWS Secrets Manager (AMS-Self-Service-Provisioning) im AMS-Benutzerhandbuch für Fortgeschrittene.

• Amazon Managed Streaming für Apache Kafka – Siehe Authentifizieren von Benutzername und Passwort mit AWS Secrets Manager im Entwicklerhandbuch von Amazon Managed Streaming für Apache Kafka.

• Amazon Managed Workflows für Apache Airflow – Siehe Konfigurieren einer Apache-Airflow-Verbindung mit einem Secrets-Manager-Secret und Verwenden eines geheimen Schlüssels in AWS Secrets Manager für eine Apache-Airflow-Variable im Benutzerhandbuch für Amazon Managed Workflows für Apache Airflow.

• AWS Marketplace – Siehe Von anderen AWS-Services verwaltete AWS Secrets Manager-Secrets.

• AWS Migration Hub – Siehe Migrieren von SAP- NetWeaver Anwendungen zu AWS und Hostwechsel von Anwendungen auf Amazon EC2 im AWS Migration Hub Orchestrator-Benutzerhandbuch.

• AWS OpsWorks for Chef Automate – Siehe Von anderen AWS-Services verwaltete AWS Secrets Manager-Secrets.

• AWS Panorama – Siehe Verwalten von Kamerastreams in AWS Panorama im Entwicklerhandbuch vonAWS Panorama .

• AWS ParallelCluster – Siehe Integrieren von Active Directory im Benutzerhandbuch vonAWS ParallelCluster .

• Amazon Q – Siehe Konzepte – Authentifizierung im Amazon-Q-Entwicklerhandbuch.

• Amazon QuickSight – Siehe Verwenden von AWS Secrets Manager Secrets anstelle von Datenbankanmeldeinformationen in Amazon QuickSight im Amazon- QuickSight Benutzerhandbuch.

• Amazon RDS – Siehe Von anderen AWS-Services verwaltete AWS Secrets Manager-Secrets.

• Amazon Redshift – Siehe Von anderen AWS-Services verwaltete AWS Secrets Manager-Secrets, Erstellen Sie ein AWS Secrets Manager Datenbankgeheimnis, Speichern von Datenbankanmeldeinformationen in AWS Secrets Manager, Verwenden der Amazon-Redshift-Daten-API und Abfragen einer Datenbank mit dem Abfrage-Editor im Amazon-Redshift-Verwaltungshandbuch.

• Amazon Redshift Query Editor v2 – Siehe Von anderen AWS-Services verwaltete AWS Secrets Manager-Secrets.

• Amazon SageMaker – Siehe Zuordnen von Git-Repositorys zu Amazon- SageMaker Notebook-Instances, Importieren von Daten aus Databricks (JDBC) und Importieren von Daten aus Snowflake im Amazon- SageMaker Entwicklerhandbuch.

• AWS Schema Conversion Tool – Siehe Verwenden von AWS Secrets Manager in der AWS SCT Benutzeroberfläche im AWS Schema Conversion Tool -Benutzerhandbuch.

• AWS Toolkit for JetBrains – Siehe Zugreifen auf Amazon-Redshift-Cluster im Benutzerhandbuch vonAWS Toolkit for JetBrains .

• AWS Transfer Family –Siehe Standardauthentifizierung für AS2-Konnektoren, Arbeiten mit benutzerdefinierten Identitätsanbietern und Generieren und Verwalten von PGP-Schlüsseln im Benutzerhandbuch vonAWS Transfer Family .

• AWS Wickr – Siehe Starten des Bots zur Datenaufbewahrung im AWS Wickr-Administratorhandbuch.