Proteção de dados no AWS Secrets Manager - AWS Secrets Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteção de dados no AWS Secrets Manager

O modelo de responsabilidade compartilhada da AWS se aplica à proteção de dados no AWS Secrets Manager. Conforme descrito nesse modelo, AWS é responsável por proteger a infraestrutura global que executa todas as Nuvem AWS. Você é responsável por manter o controle sobre seu conteúdo hospedado nessa infraestrutura. Esse conteúdo inclui as tarefas de configuração e gerenciamento de segurança dos Serviços da AWSque você usa. Para obter mais informações sobre a privacidade de dados, consulte as Perguntas Frequentes sobre Privacidade de Dados.. Para obter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog AWS Shared Responsibility Model and GDPR no Blog de segurança da AWS.

Para fins de proteção de dados, recomendamos que você proteja as credenciais da conta da Conta da AWS e configure as contas de usuário individuais com o AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:

Criptografia em repouso

O Secrets Manager usa criptografia por meio do AWS Key Management Service (AWS KMS) para proteger a confidencialidade dos dados em repouso. O AWS KMS fornece um serviço de armazenamento e criptografia de chaves usado por muitos serviços da AWS. Cada segredo no Secrets Manager é criptografado com uma chave de dados exclusiva. Cada chave de dados é protegida por uma chave KMS. Você pode optar por usar a criptografia padrão com a Chave gerenciada pela AWS do Secrets Manager para a conta ou pode criar sua própria chave gerenciada pelo cliente no AWS KMS. O uso de uma chave gerenciada pelo cliente oferece controles de autorização mais granulares sobre as atividades da chave KMS. Para ter mais informações, consulte Criptografia e descriptografia de segredos no AWS Secrets Manager.

Criptografia em trânsito

O Secrets Manager fornece endpoints seguros e privados para criptografar dados em trânsito. Os endpoints seguros e privados permitem que a AWS proteja a integridade das solicitações de API ao Secrets Manager. A AWS exige que as chamadas de API sejam assinadas pela entidade responsável usando certificados X.509 ou uma chave de acesso secreta do Secrets Manager. Esse requisito é indicado no Processo de assinatura do Signature versão 4 (Sigv4).

Se você usar a AWS Command Line Interface (AWS CLI) ou qualquer um dos SDKs da AWS para fazer chamadas para a AWS, configure a chave de acesso a ser usada. Em seguida, essas ferramentas usam automaticamente a chave de acesso para assinar as solicitações para você. Consulte Mitigação de riscos do uso da AWS CLI para armazenar segredos do AWS Secrets Manager.

Privacidade do tráfego entre redes

A AWS oferece opções para manter a privacidade ao rotear tráfego por meio de rotas de rede conhecidas e privadas.

Tráfego entre clientes de serviço e on-premises e as aplicações

Você tem duas opções de conectividade entre sua rede privada e a AWS Secrets Manager:

Tráfego entre recursos da AWS na mesma região

Para proteger o tráfego entre o Secrets Manager e os clientes de API na AWS, configure um PrivateLink da AWS para acessar com privacidade os endpoints de API do Secrets Manager.

Gerenciamento de chave de criptografia

Quando o Secrets Manager precisa criptografar uma nova versão dos dados protegidos do segredo, o Secrets Manager envia uma solicitação ao AWS KMS para gerar uma nova chave de dados da chave do KMS. O Secrets Manager usa essa chave de dados para criptografia de envelope. O Secrets Manager armazena a chave de dados criptografada com o segredo criptografado. Quando o segredo precisa ser descriptografado, o Secrets Manager pede ao AWS KMS para descriptografar a chave de dados. Em seguida, o Secrets Manager usa a chave de dados descriptografada para descriptografar o segredo criptografado. O Secrets Manager nunca armazena a chave de dados em formato não criptografado e remove a chave da memória o mais rápido possível. Para ter mais informações, consulte Criptografia e descriptografia de segredos no AWS Secrets Manager.