Bonnes pratiques de chiffrement pour AWS Secrets Manager

AWS Secrets Manager vous aide à remplacer les informations d'identification codées en dur dans votre code, y compris les mots de passe, par un appel d'API à Secrets Manager pour récupérer le secret par programmation. Secrets Manager s'intègre AWS KMS pour chiffrer chaque version de chaque valeur secrète à l'aide d'une clé de données unique protégée par un AWS KMS key. Cette intégration protège les secrets stockés avec des clés de chiffrement qui ne restent jamais AWS KMS non chiffrées. Vous pouvez également définir des autorisations personnalisées sur la clé KMS afin d'auditer les opérations qui génèrent, chiffrent et déchiffrent les clés de données qui protègent les secrets stockés. Pour plus d'informations, veuillez consulter Chiffrement et déchiffrement de secret dans AWS Secrets Manager.

Tenez compte des bonnes pratiques de chiffrement suivantes pour ce service :

• Dans la plupart des cas, nous recommandons d'utiliser la clé aws/secretsmanager AWS gérée pour chiffrer les secrets. Son utilisation est gratuite.

• Pour accéder à un secret depuis un autre compte ou pour appliquer une politique de clé à la clé de chiffrement, utilisez une clé gérée par le client pour chiffrer le secret.

  • Dans la politique clé, attribuez la valeur secretsmanager.<region>.amazonaws.com à la clé de ViaService condition kms :. Cela limite l'utilisation de la clé aux seules demandes provenant de Secrets Manager.

  • Pour limiter davantage l'utilisation de la clé aux seules demandes émanant de Secrets Manager présentant le contexte approprié, utilisez des clés ou des valeurs dans le contexte de chiffrement de Secrets Manager comme condition d'utilisation de la clé KMS en créant :

    • Un opérateur de condition de chaîne dans une politique IAM ou une politique clé

    • Une contrainte d'octroi dans un octroi