Proteção de dados em AWS Secrets Manager

Modo de foco

Proteção de dados em AWS Secrets Manager - AWS Secrets Manager

Criptografia em repouso Criptografia em trânsito Privacidade do tráfego entre redes Gerenciamento de chave de criptografia

O modelo de responsabilidade AWS compartilhada modelo se aplica à proteção de dados em AWS Secrets Manager. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre seu conteúdo hospedado nessa infraestrutura. Esse conteúdo inclui as tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que você usa. Para obter mais informações sobre a privacidade de dados, consulte as Perguntas Frequentes sobre Privacidade de Dados.. Para obter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog AWS Shared Responsibility Model and RGPD no Blog de segurança da AWS .

Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure contas de usuário individuais com AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:

Use uma autenticação multifator (MFA) com cada conta.
Use SSL/TLS para se comunicar com os recursos. AWS O Secrets Manager é compatível com o TLS 1.2 e 1.3 em todas as regiões. O Secrets Manager também é compatível com um protocolo híbrido de criptografia de rede com opção de troca de chave pós-quântica para TLS (PQTLS).
Assine suas solicitações programáticas para o Secrets Manager usando um ID da chave de acesso e uma chave de acesso secreta associados a uma entidade principal do IAM. Você também pode usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.
Configure a API e o registro de atividades do usuário com AWS CloudTrail. Consulte AWS Secrets Manager Registre eventos com AWS CloudTrail.
Se você precisar de módulos criptográficos validados pelo FIPS 140-2 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Consulte AWS Secrets Manager endpoints.
Se você usar o AWS CLI para acessar o Secrets Manager,Mitigue os riscos de usar o AWS CLI para armazenar seus segredos AWS Secrets Manager.

Criptografia em repouso

O Secrets Manager usa criptografia via AWS Key Management Service (AWS KMS) para proteger a confidencialidade dos dados em repouso. AWS KMS fornece um serviço de criptografia e armazenamento de chaves usado por muitos AWS serviços. Cada segredo no Secrets Manager é criptografado com uma chave de dados exclusiva. Cada chave de dados é protegida por uma chave KMS. Você pode optar por usar a criptografia padrão com a Chave gerenciada pela AWS do Secrets Manager para a conta ou pode criar sua própria chave gerenciada pelo cliente no AWS KMS. O uso de uma chave gerenciada pelo cliente oferece controles de autorização mais granulares sobre as atividades da chave KMS. Para obter mais informações, consulte Criptografia e decodificação secretas em AWS Secrets Manager.

Criptografia em trânsito

O Secrets Manager fornece endpoints seguros e privados para criptografar dados em trânsito. Os endpoints seguros e privados permitem proteger AWS a integridade das solicitações de API ao Secrets Manager. AWS exige que as chamadas de API sejam assinadas pelo chamador usando certificados X.509 e/ou uma chave de acesso secreta do Secrets Manager. Esse requisito é indicado no Processo de assinatura do Signature versão 4 (Sigv4).

Se você usar o AWS Command Line Interface (AWS CLI) ou qualquer um dos AWS SDKs para fazer chamadas AWS, você configura a chave de acesso a ser usada. Em seguida, essas ferramentas usam automaticamente a chave de acesso para assinar as solicitações para você. Consulte Mitigue os riscos de usar o AWS CLI para armazenar seus segredos AWS Secrets Manager.

Privacidade do tráfego entre redes

AWS oferece opções para manter a privacidade ao rotear o tráfego por meio de rotas de rede conhecidas e privadas.

Tráfego entre clientes de serviço e on-premises e as aplicações

Você tem duas opções de conectividade entre sua rede privada e AWS Secrets Manager:

Uma conexão AWS Site-to-Site VPN. Para obter mais informações, consulte O que é AWS VPN Site-to-Site?
Uma conexão AWS Direct Connect. Para obter mais informações, consulte O que é o AWS Direct Connect?

Tráfego entre AWS recursos na mesma região

Se você quiser proteger o tráfego entre o Secrets Manager e os clientes da API AWS, configure um AWS PrivateLinkpara acessar de forma privada os endpoints da API do Secrets Manager.

Gerenciamento de chave de criptografia

Quando o Secrets Manager precisa criptografar uma nova versão dos dados secretos protegidos, o Secrets Manager envia uma solicitação AWS KMS para gerar uma nova chave de dados a partir da chave KMS. O Secrets Manager usa essa chave de dados para criptografia de envelope. O Secrets Manager armazena a chave de dados criptografada com o segredo criptografado. Quando o segredo precisa ser descriptografado, o Secrets Manager solicita AWS KMS a decodificação da chave de dados. Em seguida, o Secrets Manager usa a chave de dados descriptografada para descriptografar o segredo criptografado. O Secrets Manager nunca armazena a chave de dados em formato não criptografado e remove a chave da memória o mais rápido possível. Para obter mais informações, consulte Criptografia e decodificação secretas em AWS Secrets Manager.