Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prácticas recomendadas de cifrado para AWS Secrets Manager
AWS Secrets Manager lo ayuda a reemplazar las credenciales codificadas en su código, incluidas contraseñas, con una llamada a la API de Secrets Manager para recuperar el secreto mediante programación. Secrets Manager se integra AWS KMS para cifrar cada versión de cada valor secreto con una clave de datos única que está protegida por un AWS KMS key. Esta integración protege los secretos almacenados con claves de cifrado que nunca quedan AWS KMS sin cifrar. También puede definir permisos personalizados en la clave de KMS para auditar las operaciones que generan, cifran y descifran las claves de datos que protegen sus secretos almacenados. Para obtener más información, consulte Cifrado y descifrado de secretos en AWS Secrets Manager.
Tenga en cuenta las siguientes prácticas recomendadas de cifrado para este servicio:
-
En la mayoría de los casos, recomendamos utilizar la clave
aws/secretsmanager
AWS gestionada para cifrar los secretos. No se aplica ningún cargo por su uso. -
Para poder acceder a un secreto desde otra cuenta o aplicar una política de claves a la clave de cifrado, utilice una clave administrada por el cliente para cifrar el secreto.
-
En la política de claves, asigne el valor
secretsmanager.<region>.amazonaws.com
a la clave de ViaService condición kms:. Esto limita el uso de la clave solo a las solicitudes de Secrets Manager. -
Para limitar aún más el uso de la clave solo a las solicitudes de Secrets Manager con el contexto correcto, utilice las claves o valores del contexto de cifrado de Secrets Manager como condición a fin de utilizar la clave de KMS creando lo siguiente:
-
Un operador de condición de cadena en una política de claves o de IAM
-
Una restricción de la concesión en una concesión
-
-