Práticas recomendadas de criptografia para AWS Secrets Manager - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas de criptografia para AWS Secrets Manager

O AWS Secrets Manager ajuda a substituir credenciais codificadas, incluindo senhas, por uma chamada de API ao Secrets Manager para recuperar o segredo por programação. O Secrets Manager se AWS KMS integra para criptografar cada versão de cada valor secreto com uma chave de dados exclusiva que é protegida por um. AWS KMS key Essa integração protege segredos armazenados com chaves de criptografia que nunca saem AWS KMS sem criptografia. Também é possível definir permissões personalizadas na chave do KMS para auditar as operações que geram, criptografam e descriptografam as chaves de dados que protegem seus segredos armazenados. Para obter mais informações, consulte Criptografia e descriptografia de dados no AWS Secrets Manager.

Considere as seguintes práticas recomendadas de criptografia para esse serviço:

  • Na maioria dos casos, recomendamos usar a chave aws/secretsmanager AWS gerenciada para criptografar segredos. Não há custo para seu uso.

  • Para poder acessar um segredo de outra conta ou aplicar uma política de chaves à chave de criptografia, use uma chave gerenciada pelo cliente para criptografar o segredo.

    • Na política de chaves, atribua o valor secretsmanager.<region>.amazonaws.com à chave de ViaService condição kms:. Isso limita o uso da chave somente às solicitações do Secrets Manager.

    • Para limitar ainda mais o uso da chave somente a solicitações do Secrets Manager com o contexto correto, use chaves ou valores no contexto de criptografia do Secrets Manager como condição para usar a chave do KMS, criando: