As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Práticas recomendadas de criptografia para AWS Secrets Manager
O AWS Secrets Manager ajuda a substituir credenciais codificadas, incluindo senhas, por uma chamada de API ao Secrets Manager para recuperar o segredo por programação. O Secrets Manager se AWS KMS integra para criptografar cada versão de cada valor secreto com uma chave de dados exclusiva que é protegida por um. AWS KMS key Essa integração protege segredos armazenados com chaves de criptografia que nunca saem AWS KMS sem criptografia. Também é possível definir permissões personalizadas na chave do KMS para auditar as operações que geram, criptografam e descriptografam as chaves de dados que protegem seus segredos armazenados. Para obter mais informações, consulte Criptografia e descriptografia de dados no AWS Secrets Manager.
Considere as seguintes práticas recomendadas de criptografia para esse serviço:
-
Na maioria dos casos, recomendamos usar a chave
aws/secretsmanager
AWS gerenciada para criptografar segredos. Não há custo para seu uso. -
Para poder acessar um segredo de outra conta ou aplicar uma política de chaves à chave de criptografia, use uma chave gerenciada pelo cliente para criptografar o segredo.
-
Na política de chaves, atribua o valor
secretsmanager.<region>.amazonaws.com
à chave de ViaService condição kms:. Isso limita o uso da chave somente às solicitações do Secrets Manager. -
Para limitar ainda mais o uso da chave somente a solicitações do Secrets Manager com o contexto correto, use chaves ou valores no contexto de criptografia do Secrets Manager como condição para usar a chave do KMS, criando:
-
Um operador de condição de string em uma política do IAM ou política de chave
-
Uma restrição de concessão em uma concessão
-
-