Práticas recomendadas de criptografia para AWS Secrets Manager

O AWS Secrets Manager ajuda a substituir credenciais codificadas, incluindo senhas, por uma chamada de API ao Secrets Manager para recuperar o segredo por programação. O Secrets Manager se AWS KMS integra para criptografar cada versão de cada valor secreto com uma chave de dados exclusiva que é protegida por um. AWS KMS key Essa integração protege segredos armazenados com chaves de criptografia que nunca saem AWS KMS sem criptografia. Também é possível definir permissões personalizadas na chave do KMS para auditar as operações que geram, criptografam e descriptografam as chaves de dados que protegem seus segredos armazenados. Para obter mais informações, consulte Criptografia e descriptografia de dados no AWS Secrets Manager.

Considere as seguintes práticas recomendadas de criptografia para esse serviço:

Na maioria dos casos, recomendamos usar a chave aws/secretsmanager AWS gerenciada para criptografar segredos. Não há custo para seu uso.
Para poder acessar um segredo de outra conta ou aplicar uma política de chaves à chave de criptografia, use uma chave gerenciada pelo cliente para criptografar o segredo.
- Na política de chaves, atribua o valor secretsmanager.<region>.amazonaws.com à chave de ViaService condição kms:. Isso limita o uso da chave somente às solicitações do Secrets Manager.
- Para limitar ainda mais o uso da chave somente a solicitações do Secrets Manager com o contexto correto, use chaves ou valores no contexto de criptografia do Secrets Manager como condição para usar a chave do KMS, criando:
  - Um operador de condição de string em uma política do IAM ou política de chave
  - Uma restrição de concessão em uma concessão

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Amazon RDS

Amazon S3