O que AWS Secrets Manageré

AWS Secrets Manager ajuda você a gerenciar, recuperar e alternar credenciais de banco de dados, credenciais de aplicativos, OAuth tokens, chaves de API e outros segredos ao longo de seus ciclos de vida. Muitos AWS serviços armazenam e usam segredos no Secrets Manager.

O Secrets Manager ajuda você a melhorar seu procedimento de segurança, porque você não precisa mais de credenciais de codificação rígida no código-fonte da aplicação. Armazenar as credenciais no Secrets Manager evita um possível comprometimento por qualquer pessoa que possa inspecionar sua aplicação ou os componentes. Você substitui credenciais de codificação rígida com uma chamada de runtime ao serviço Secrets para recuperar as credenciais dinamicamente quando necessário.

Com o Secrets Manager, você pode configurar uma programação de alternância automática para seus segredos. Isso permite que você substitua os segredos de longo prazo por outros de curto prazo, reduzindo significativamente o risco de comprometimento. Como as credenciais não são mais armazenadas na aplicação, a alternância das credenciais não exige mais a atualização das aplicações e a implantação de alterações nos clientes da aplicação.

Para outros tipos de segredos que você pode usar em sua organização:

• AWS credenciais — AWS Identity and Access ManagementRecomendamos.

• Chaves de criptografia: recomendamos o AWS Key Management Service.

• Chaves SSH — Recomendamos o Amazon EC2 Instance Connect.

• Chaves privadas e certificados: recomendamos o AWS Certificate Manager.

Conceitos básicos do Secrets Manager

Se você é novo no Secrets Manager, comece com um dos tutoriais a seguir:

• Mova segredos codificados para AWS Secrets Manager

• Mova as credenciais do banco de dados codificadas para AWS Secrets Manager

• Configurar alternância de usuários alternados para o AWS Secrets Manager

• Configurar a alternância de usuário único para o AWS Secrets Manager

Outras tarefas que você pode realizar com segredos:

• Gerenciar segredos

• Controlar o acesso a seus segredos

• Obter segredos

• Alternar segredos

• Monitorar segredos

• Monitorar segredos para conformidade

• Crie segredos em AWS CloudFormation

Compatibilidade com padrões

AWS Secrets Manager foi submetido à auditoria de vários padrões e pode fazer parte de sua solução quando você precisar obter a certificação de conformidade. Para obter mais informações, consulte Validação de conformidade para AWS Secrets Manager.

Preços

Ao usar o Secrets Manager, você paga somente pelo que usa, e não há taxas mínimas ou de configuração. Não há cobrança para segredos que são marcados para exclusão. Para obter a lista de preços atual completa, consulte Definição de preço do AWS Secrets Manager. Para monitorar seus custos, consulte Monitorar custos do Secrets Manager.

Você pode usar o Chave gerenciada pela AWS aws/secretsmanager que o Secrets Manager cria para criptografar seus segredos gratuitamente. Se você criar suas próprias chaves KMS para criptografar seus segredos, AWS cobrará a taxa atual AWS KMS . Para obter mais informações, consulte Preços do AWS Key Management Service.

Quando você ativa a rotação automática (exceto a rotação gerenciada), o Secrets Manager usa uma AWS Lambda função para girar o segredo, e você é cobrado pela função de rotação na taxa Lambda atual. Para obter mais informações, consulte Preços do AWS Lambda.

Se você ativar AWS CloudTrail em sua conta, poderá obter registros das chamadas de API que o Secrets Manager envia. O Secrets Manager registra todos os eventos como eventos de gerenciamento. AWS CloudTrail armazena gratuitamente a primeira cópia de todos os eventos de gerenciamento. No entanto, se você habilitar as notificações, poderão ser cobradas taxas pelo armazenamento de logs do Amazon S3 e pelo uso do Amazon SNS. Além disso, se você configurar trilhas adicionais, as cópias adicionais de eventos de gerenciamento poderão ter custos. Para obter mais informações, consulte Definição de preço do AWS CloudTrail.