Praktik terbaik enkripsi untuk AWS Secrets Manager

AWS Secrets Managermembantu Anda mengganti kredensi hardcode dalam kode Anda, termasuk kata sandi, dengan panggilan API ke Secrets Manager untuk mengambil rahasia secara terprogram. Secrets Manager terintegrasi dengan AWS KMS untuk mengenkripsi setiap versi dari setiap nilai rahasia dengan kunci data unik yang dilindungi oleh file. AWS KMS key Integrasi ini melindungi rahasia yang tersimpan dengan kunci enkripsi yang tidak pernah dibiarkan tidak AWS KMS terenkripsi. Anda juga dapat menentukan izin khusus pada kunci KMS untuk mengaudit operasi yang menghasilkan, mengenkripsi, dan mendekripsi kunci data yang melindungi rahasia yang disimpan. Untuk informasi selengkapnya, lihat Enkripsi rahasia dan dekripsi di. AWS Secrets Manager

Pertimbangkan praktik terbaik enkripsi berikut untuk layanan ini:

Untuk kebanyakan kasus, kami sarankan menggunakan kunci aws/secretsmanager AWS terkelola untuk mengenkripsi rahasia. Tidak ada biaya untuk menggunakannya.
Untuk dapat mengakses rahasia dari akun lain atau menerapkan kebijakan kunci ke kunci enkripsi, gunakan kunci yang dikelola pelanggan untuk mengenkripsi rahasia.
- Dalam kebijakan kunci, tetapkan nilai secretsmanager.<region>.amazonaws.com ke kms: ViaService condition key. Ini membatasi penggunaan kunci hanya untuk permintaan dari Secrets Manager.
- Untuk lebih membatasi penggunaan kunci hanya permintaan dari Secrets Manager dengan konteks yang benar, gunakan kunci atau nilai dalam konteks enkripsi Secrets Manager sebagai syarat untuk menggunakan kunci KMS dengan membuat:
  - Operator kondisi string dalam kebijakan IAM atau kebijakan kunci
  - Kendala hibah dalam hibah

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Amazon RDS

Amazon S3