AWS Secrets Manager migliori pratiche

Secrets Manager offre una serie di funzionalità di sicurezza da prendere in considerazione durante lo sviluppo e l'implementazione delle proprie politiche di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l'ambiente, gestiscile come considerazioni utili anziché prescrizioni.

Archivia le credenziali e altre informazioni sensibili in AWS Secrets Manager

Secrets Manager può contribuire a migliorare il livello di sicurezza e la conformità e a ridurre il rischio di accesso non autorizzato alle informazioni sensibili. Secrets Manager crittografa i segreti inattivi utilizzando chiavi di crittografia di cui l'utente è proprietario e in cui sono archiviate AWS Key Management Service (AWS KMS). Quando recuperate un segreto, Secrets Manager lo decripta e lo trasmette in modo sicuro all'ambiente locale. TLS Per ulteriori informazioni, consulta Crea un AWS Secrets Manager Secret.

Trova segreti non protetti nel tuo codice

CodeGuru Reviewer si integra con Secrets Manager per utilizzare un rilevatore di segreti che trova segreti non protetti nel codice. Il rilevatore di segreti cerca password codificate, stringhe di connessione al database, nomi utente e altro ancora. Per ulteriori informazioni, consulta Ricerca di segreti non protetti nel codice con revisore Amazon CodeGuru.

Amazon Q può scansionare la tua base di codice alla ricerca di vulnerabilità di sicurezza e problemi di qualità del codice per migliorare la postura delle tue applicazioni durante l'intero ciclo di sviluppo. Per ulteriori informazioni, consulta Scansione del codice con Amazon Q nella Amazon Q Developer User Guide.

Scegli una chiave di crittografia per il tuo segreto

Nella maggior parte dei casi, consigliamo di utilizzare la chiave aws/secretsmanager AWS gestita per crittografare i segreti. Il suo utilizzo non comporta alcun costo.

Per poter accedere a un segreto da un altro account o applicare una politica di chiave alla chiave di crittografia, utilizza una chiave gestita dal cliente per crittografare il segreto.

• Nella policy chiave, assegna il valore secretsmanager.<region>.amazonaws.com alla chiave kms: ViaService condition. Ciò limita l'uso della chiave solo alle richieste provenienti da Secrets Manager.

• Per limitare ulteriormente l'uso della chiave solo alle richieste di Secrets Manager con il contesto corretto, utilizza chiavi o valori nel contesto di crittografia Secrets Manager come condizione per l'utilizzo della KMS chiave creando:

  • Un operatore di condizione di tipo stringa in una IAM politica o in una politica chiave

  • Un vincolo di concessione in una concessione

Per ulteriori informazioni, consulta Crittografia e decrittografia segrete in AWS Secrets Manager.

Usa la memorizzazione nella cache per recuperare i segreti

Per utilizzare i segreti nel modo più efficiente, si consiglia di utilizzare uno dei seguenti componenti di memorizzazione nella cache di Secrets Manager supportati per memorizzare nella cache i segreti e aggiornarli solo quando necessario:

• Java con memorizzazione nella cache lato client

• Python con caching lato client

• .NET con memorizzazione nella cache lato client

• Scegli la memorizzazione nella cache lato client

• Rust con memorizzazione nella cache lato client

• Usa AWS Secrets Manager i segreti nelle AWS Lambda funzioni

• Usa AWS Secrets Manager i segreti in Amazon Elastic Kubernetes Service

• Utilizzalo AWS Secrets Manager Agente per standardizzare il consumo dei segreti di Secrets Manager in ambienti come AWS Lambda Amazon Elastic Container Service, Amazon Elastic Kubernetes Service e Amazon Elastic Compute Cloud.

Rotazione dei segreti

Se non cambi i tuoi segreti per un lungo periodo di tempo, i segreti possono essere compromessi. Con Secrets Manager, puoi impostare la rotazione automatica ogni quattro ore. Secrets Manager offre due strategie di rotazione: Utente singolo eUtenti alternati. Per ulteriori informazioni, consulta Ruota AWS Secrets Manager segreti.

Riduci i rischi di utilizzo CLI

Quando si utilizza il AWS CLI per richiamare AWS le operazioni, si immettono tali comandi in una shell di comando. La maggior parte delle shell di comando offre funzionalità che potrebbero compromettere i segreti dell'utente, come la registrazione e la possibilità di visualizzare l'ultimo comando immesso. Prima di utilizzare il AWS CLI per inserire informazioni riservate, accertatevi di farlo. Riduci i rischi derivanti dall'utilizzo di AWS CLI per archiviare i tuoi segreti AWS Secrets Manager

Limita l'accesso ai segreti

Nelle dichiarazioni IAM politiche che controllano l'accesso ai tuoi segreti, utilizza il principio dell'accesso con privilegi minimi. È possibile utilizzare IAMruoli e policy, policy relative alle risorse e controllo degli accessi basato sugli attributi (). ABAC Per ulteriori informazioni, consulta Autenticazione e controllo degli accessi per AWS Secrets Manager.

Argomenti

• Blocca l'ampio accesso ai segreti
• Prestare attenzione alle condizioni degli indirizzi IP nelle politiche
• Limita le richieste in base alle condizioni dell'VPCendpoint

Blocca l'ampio accesso ai segreti

Nelle policy di identità che consentono l'operazione PutResourcePolicy, si consiglia di utilizzare BlockPublicPolicy: true. Con questa condizione gli utenti possono allegare una policy delle risorse a un segreto se tale policy non consente un accesso ampio.

Secrets Manager utilizza il ragionamento automatizzato di Zelkova per analizzare le policy delle risorse per un accesso ampio. Per ulteriori informazioni su Zelkova, vedi Come AWS utilizza il ragionamento automatico per aiutarti a raggiungere la sicurezza su larga scala sul AWS Security Blog.

L'esempio seguente mostra come utilizzare BlockPublicPolicy.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": "secretsmanager:PutResourcePolicy",
        "Resource": "SecretId",
        "Condition": {
            "Bool": {
                "secretsmanager:BlockPublicPolicy": "true"
            }
        }
    }
}

Prestare attenzione alle condizioni degli indirizzi IP nelle politiche

Fai attenzione quando specifichi gli operatori di condizione con indirizzo IP o la chiave di condizione aws:SourceIp nella stessa istruzione di policy che consente o rifiuta l'accesso a Secrets Manager. Ad esempio, se si associa a un criterio segreto che limita AWS le azioni alle richieste provenienti dall'intervallo di indirizzi IP della rete aziendale, le richieste IAM dell'utente che richiama la richiesta dalla rete aziendale funzioneranno come previsto. Tuttavia, se abiliti altri servizi ad accedere al segreto per tuo conto, ad esempio quando abiliti la rotazione con una funzione Lambda, quella funzione richiama le operazioni di Secrets Manager da uno spazio di indirizzi AWS interno. Le richieste influenzate dalla policy con il filtro degli indirizzi IP non vanno a buon fine.

Inoltre, la chiave di aws:sourceIP condizione è meno efficace quando la richiesta proviene da un VPC endpoint Amazon. Per limitare le richieste a un VPC endpoint specifico, usa. Limita le richieste in base alle condizioni dell'VPCendpoint

Limita le richieste in base alle condizioni dell'VPCendpoint

Per consentire o negare l'accesso alle richieste provenienti da un particolare VPC o da un VPC endpoint, utilizzare aws:SourceVpc per limitare l'accesso alle richieste provenienti dall'endpoint specificato VPC o aws:SourceVpce per limitare l'accesso alle richieste dall'endpoint specificato. VPC Per informazioni, consulta Esempio: autorizzazioni e VPCs.

• aws:SourceVpclimita l'accesso alle richieste provenienti dallo specificato. VPC

• aws:SourceVpcelimita l'accesso alle richieste dall'VPCendpoint specificato.

Se si utilizzano queste chiavi di condizione in una istruzione di policy di risorsa che consente o rifiuta l'accesso ai segreti Secrets Manager puoi inavvertitamente negare l'accesso ai servizi che utilizzano Secrets Manager per accedere ai segreti a tuo nome. Solo alcuni AWS servizi possono essere eseguiti con un endpoint interno al tuo. VPC Se si limitano le richieste di un segreto a un VPC endpoint VPC or, le chiamate a Secrets Manager da un servizio non configurato per il servizio possono avere esito negativo.

Per informazioni, consulta Utilizzo di un AWS Secrets Manager VPC endpoint.

Replica i segreti

Secrets Manager può replicare automaticamente i tuoi segreti in più AWS regioni per soddisfare i tuoi requisiti di resilienza o disaster recovery. Per ulteriori informazioni, consulta Replica i AWS Secrets Manager segreti in tutte le regioni.

Monitorare i segreti

Secrets Manager consente di controllare e monitorare i segreti attraverso l'integrazione con i servizi AWS di registrazione, monitoraggio e notifica. Per ulteriori informazioni, consultare:

• Registra AWS Secrets Manager eventi con AWS CloudTrail

• Monitora AWS Secrets Manager con Amazon CloudWatch

• Monitora AWS Secrets Manager i segreti per la conformità utilizzando AWS Config

• Monitora i costi di Secrets Manager

• Rileva le minacce con Amazon GuardDuty

Gestisci la tua infrastruttura su reti private

Consigliamo di eseguire la maggior parte delle infrastrutture su reti private non accessibili da Internet pubblico. Puoi stabilire una connessione privata tra te VPC e Secrets Manager creando un VPCendpoint di interfaccia. Per ulteriori informazioni, consulta Utilizzo di un AWS Secrets Manager VPC endpoint.