O que é o AWS Secrets Manager? - AWS Secrets Manager

O que é o AWS Secrets Manager?

No passado, quando você criava um aplicativo personalizada para recuperar informações de um banco de dados, normalmente você incorporava as credenciais, o segredo, para acessar o banco de dados diretamente na aplicação. Quando era o momento de alternar as credenciais, era necessário fazer mais do que simplesmente criar outras credenciais. Você precisava tirar tempo para atualizar a aplicação para usar novas credenciais. E distribuía a aplicação atualizada. Se você tivesse vários aplicações com credenciais compartilhadas e um deles não fosse atualizado, haveria falha na aplicação. Devido a esse risco, muitos clientes optam por não alternar regularmente as credenciais, o que, na verdade, substitui um risco por outro.

O Secrets Manager permite a substituição de credenciais codificadas no seu código, incluindo senhas, por uma chamada de API para o Secrets Manager para recuperar o segredo de forma programática. Isso ajuda a garantir que o segredo não possa ser comprometido por alguém que examine o código, pois o segredo não existe no código. Além disso, configure o Secrets Manager para alternar automaticamente o segredo para você de acordo com uma programação especificada. Isso permite que você substitua os segredos de longo prazo por outros de curto prazo, reduzindo significativamente o risco de comprometimento.

Para obter uma lista de termos e conceitos que você precisa entender para aproveitar ao máximo o Secrets Manager, consulte Conceitos básicos do AWS Secrets Manager.

Cenário básico do AWS Secrets Manager

O diagrama a seguir ilustra o cenário mais básico. O diagrama mostra como é possível armazenar credenciais de um banco de dados no Secrets Manager e usar estas credenciais em uma aplicação para acessar o banco de dados.

  1. O administrador do banco de dados cria um conjunto de credenciais no banco de dados de Pessoal para uso por um aplicativo chamada MyCustomApp. O administrador também configura essas credenciais com as permissões necessárias para a aplicação acessar o banco de dados de Pessoal.

  2. O administrador do banco de dados armazena as credenciais como um segredo no Secrets Manager, denominado MyCustomAppCreds. Em seguida, o Secrets Manager criptografa e armazena as credenciais no segredo como o texto de segredo protegido.

  3. Quando o MyCustomApp acessa o banco de dados, a aplicação consulta o Secrets Manager para obter o segredo denominado MyCustomAppCreds.

  4. O Secrets Manager recupera o segredo, descriptografa o texto de segredo protegido e retorna o segredo à aplicação cliente por meio de um canal seguro (HTTPS com TLS).

  5. O aplicativo cliente analisa as credenciais, a string de conexão e todas as outras informações necessárias da resposta e usa as informações para acessar o servidor do banco de dados.

nota

O Secrets Manager é compatível com muitos tipos de segredos. No entanto, o Secrets Manager pode alternar credenciais de forma nativa para bancos de dados da AWS compatíveis sem qualquer programação adicional. No entanto, a alternância dos segredos de outros bancos de dados ou serviços exige a criação de uma função personalizada do Lambda para definir como o Secrets Manager interage com o banco de dados ou o serviço. É necessário ter alguma experiência em programação para criar a função. Para obter mais informações, consulte . Alternar segredos do AWS Secrets Manager.

Recursos do AWS Secrets Manager

Recuperar de forma programática valores de segredos criptografados em tempo de execução

O Secrets Manager ajuda você a melhorar seu procedimento de segurança, ao remover credenciais codificadas de forma rígida da fonte da aplicação e ao não armazenar as credenciais de qualquer maneira na aplicação. Armazenar as credenciais dentro ou fora da aplicação as sujeita a possível comprometimento por qualquer pessoa que pode inspecionar a aplicação ou os componentes. Como é necessário atualizar a aplicação e implantar as alterações para cada cliente antes de defasar as credenciais antigas, esse processo também dificulta a alternância das credenciais.

O Secrets Manager permite a substituição das credenciais armazenadas por uma chamada no tempo de execução para o serviço da Web do Secrets Manager para que seja possível recuperar as credenciais dinamicamente quando necessário.

Na maioria das vezes, o cliente exige acesso à versão mais recente do valor de segredo criptografado. Ao consultar o valor do segredo criptografado, você pode fornecer apenas o nome ou o nome de recurso da Amazon (ARN) do segredo, sem especificar informações sobre a versão. Se você fizer isso, o Secrets Manager retornará automaticamente a versão mais recente do valor do segredo.

No entanto, outras versões podem existir ao mesmo tempo. A maioria dos sistemas oferece suporte a segredos mais complexos do que uma simples senha, como conjuntos completos de credenciais que incluem os detalhes da conexão, o ID do usuário e a senha. Com o Secrets Manager, você pode armazenar vários conjuntos dessas credenciais ao mesmo tempo. O Secrets Manager armazena cada conjunto em uma versão diferente do segredo. Durante o processo de alternância do segredo, o Secrets Manager rastreia as credenciais mais antigas, bem como as credenciais novas que você quer começar a usar, pelo menos até que a alternância esteja concluída.

Armazenar diferentes tipos de segredos

O Secrets Manager permite que você armazene texto na parte de dados criptografados de um segredo. Isso normalmente inclui os detalhes de conexão do banco de dados ou do serviço. Os detalhes podem incluir o nome do servidor, o endereço IP e o número da porta, além do nome do usuário e a senha usados para fazer login no serviço. Para obter detalhes sobre segredos, consulte os valores máximos e mínimos. O texto protegido não inclui:

  • Nome e descrição do segredo

  • Configurações de alternância ou de expiração

  • ARN da chave do KMS associada ao segredo

  • Qualquer tag da AWS anexadas

Criptografar os dados do segredo

O Secrets Manager criptografa o texto protegido de um segredo usando o AWS Key Management Service (AWS KMS). Muitos serviços da AWS usam o AWS KMS para o armazenamento de chaves e criptografia. O AWS KMS garante a criptografia segura do seu segredo quando em repouso. O Secrets Manager associa cada segredo a uma chave do KMS. Pode ser Chave gerenciada pela AWS para Secrets Manager para a conta (aws/secretsmanager) ou uma chave gerenciada pelo cliente criada no AWS KMS.

Sempre que o Secrets Manager criptografa uma nova versão dos dados protegidos do segredo, o Secrets Manager solicita que o AWS KMS gere uma nova chave de dados com base na chave do KMS. O Secrets Manager usa essa chave de dados para criptografia de envelope. O Secrets Manager armazena a chave de dados criptografada com os dados protegidos do segredo. Sempre que o segredo precisa ser descriptografado, o Secrets Manager solicita que o AWS KMS descriptografe a chave de dados. Em seguida, o Secrets Manager usa essa chave para descriptografar os dados protegidos do segredo. O Secrets Manager nunca armazena a chave de dados em formato não criptografado e sempre descarta a chave de dados imediatamente após o uso.

Além disso, por padrão, o Secrets Manager só aceita solicitações de hosts que usam o padrão aberto Transport Layer Security (TLS) e o Perfect Forward Secrecy. O Secrets Manager garante a criptografia do segredo durante o trânsito entre a AWS e os computadores que você usa para recuperar o segredo.

Executar alternância automática nos segredos

É possível configurar o Secrets Manager para fazer a alternância dos segredos automaticamente sem qualquer intervenção do usuário e segundo uma programação especificada.

Você define e implementa a alternância com uma função AWS Lambda. Essa função define como o Secrets Manager executa as seguintes tarefas:

  • Cria uma nova versão do segredo.

  • Armazena o segredo no Secrets Manager.

  • Configura o serviço protegido para usar a nova versão.

  • Verifica a nova versão.

  • Marca a nova versão como pronta para produção.

Os rótulos de preparação ajudam você a acompanhar as diferentes versões dos seus segredos. Cada versão pode ter vários rótulos de preparação anexados, mas cada rótulo de preparação pode ser anexado somente a uma versão. Por exemplo, o Secrets Manager rotula a versão atualmente ativa e em uso do segredo como AWSCURRENT. Você deve configurar seus aplicações para sempre consultarem a versão atual do segredo. Quando o processo de alternância cria uma nova versão de um segredo, o Secrets Manager adiciona automaticamente o rótulo de preparação AWSPENDING à nova versão até que os testes e validações sejam concluídos. Só então o Secrets Manager adiciona o rótulo de preparação AWSCURRENT a essa nova versão. Suas aplicações começarão a usar imediatamente o novo segredo na próxima vez em que consultarem a versão AWSCURRENT.

Bancos de dados compatíveis com alternância totalmente configurados e prontos para execução

Quando você opta por habilitar a alternância, o Secrets Manager oferece suporte aos seguintes bancos de dados do Amazon Relational Database Service (Amazon RDS) com modelos de função de alternância do Lambda escritos e testados pela AWS e a configuração completa do processo de alternância:

  • Amazon Aurora no Amazon RDS

  • MySQL no Amazon RDS

  • PostgreSQL no Amazon RDS

  • Oracle no Amazon RDS

  • MariaDB no Amazon RDS

  • Microsoft SQL Server no Amazon RDS

Outros serviços compatíveis com alternância totalmente configurada e pronta para uso

Também é possível optar por habilitar a alternância nos seguintes serviços, que são totalmente compatíveis com os modelos da função de alternância do Lambda testados e criados pela AWS e a configuração completa do processo de alternância:

  • Amazon DocumentDB

  • Amazon Redshift

Também é possível armazenar segredos para quase qualquer outro tipo de banco de dados ou serviço. No entanto, para alternar os segredos automaticamente, é necessário criar e configurar uma função de alternância personalizada do Lambda. Para obter mais informações sobre como criar uma função personalizada do Lambda para um banco de dados ou serviço, consulte Como o funciona a alternância.

Controlar o acesso aos segredos

É possível anexar políticas de permissão do AWS Identity and Access Management (IAM) aos seus usuários, grupos e funções que concedem ou negam acesso a segredos específicos, e restringir o gerenciamento destes segredos. Por exemplo, talvez você anexe uma política a um grupo com membros que precisem gerenciar e configurar seus segredos totalmente. Outra política anexada a uma função usada por uma aplicação pode conceder permissão somente leitura no único segredo que a aplicação precisa executar.

Como alternativa, é possível anexar uma política baseada em recursos diretamente ao segredo para conceder permissões que especificam os usuários que podem ler ou modificar o segredo e as versões. Ao contrário de uma política baseada em identidade, que se aplica automaticamente ao usuário, ao grupo ou à função, uma política baseada em recursos anexada a um segredo usa o elemento Principal para identificar o destino da política. O elemento Principal pode incluir usuários e funções da mesma conta do segredo ou os principais de outras contas.

Conformidade com padrões para AWS Secrets Manager

AWS Secrets ManagerO passou por uma auditoria dos padrões a seguir e pode fazer parte de sua solução quando você precisar obter certificação de conformidade.

A AWS expandiu seu programa de conformidade da lei americana HIPAA (Health Insurance Portability Accountability Act) para incluir o AWS Secrets Manager como um serviço qualificado para a HIPAA. Se você tiver um Acordo de Associação Comercial (BAA) com a AWS, poderá usar o Secrets Manager para ajudar a criar suas aplicações compatíveis com a HIPAA. A AWS oferece um whitepaper sobre a HIPAA para os clientes interessados em saber mais sobre como utilizar a AWS para o processamento e o armazenamento de informações de saúde. Para obter mais informações, consulte Conformidade com a HIPAA.

AWS Secrets ManagerO tem uma Declaração de conformidade com o padrão de segurança de dados (Data Security Standard, DSS) versão 3.2 da Payment Card Industry (PCI) no nível 1 de prestador de serviços. Os clientes que usam os produtos da AWS para armazenar, processar ou transmitir dados de titulares de cartões podem usar o AWS Secrets Manager ao gerenciar sua própria certificação de conformidade com o PCI DSS. Para obter mais informações sobre o PCI DSS, incluindo como solicitar uma cópia do pacote de conformidade com o PCI da AWS, consulte Nível 1 do PCI DSS.

AWS Secrets ManagerO concluiu com êxito a certificação de conformidade para a ISO/IEC 27001, a ISO/IEC 27017, a ISO/IEC 27018 e a ISO 9001. Para obter mais informações, consulte ISO 27001, ISO 27017, ISO 27018 e ISO 9001.

Os relatórios de Controles do Sistema e da Organização (CSO) são relatórios de exames de terceiros independentes que demonstram como o Secrets Manager obtém os principais controles e objetivos de compatibilidade. O objetivo desses relatórios é ajudar você e seus auditores a compreenderem os controles da AWS estabelecidos para oferecer suporte às operações e à conformidade. Para obter mais informações, consulte Conformidade com o SOC.

O Federal Risk and Authorization Management Program (FedRAMP – Programa federal de gerenciamento de autorização e risco) é um programa do governo que disponibiliza uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços na nuvem. O programa FedRAMP também fornece autorizações provisórias para serviços e regiões a Leste/Oeste e GovCloud para consumir dados governamentais ou regulamentados. Para obter mais informações, consulte Conformidade com o FedRAMP.

O Security Requirements Guide (SRG – Guia de requisitos de segurança) de computação em nuvem (SRG) do Departamento de Defesa (DoD) fornece um processo padronizado de avaliação e autorização para provedores de serviço de nuvem (CSPs) obterem uma autorização provisória do DoD, para poderem atender a clientes do DoD. Para obter mais informações, consulte Recursos de SRG do DoD

O Information Security Registered Assessors Program (IRAP) permite que os clientes do governo australiano validem se os controles apropriados estão em vigor e determinem o modelo de responsabilidade correto para o cumprimento dos requisitos do Manual de Segurança da Informação (ISM) do governo australiano produzido pelo Australian Cyber Security Centre (ACSC). Para obter mais informações, consulte Recursos do IRAP.

A Amazon Web Services (AWS) obteve o atestado do Outsourced Service Provider’s Audit Report (OSPAR – Relatório de Auditoria do Prestador de Serviços Terceirizados). O alinhamento da AWS com as Diretrizes da Associação de Bancos em Singapura (ABS) sobre Objetivos de Controle e Procedimentos para Prestadores de Serviços Terceirizados (Diretrizes ABS) demonstra aos clientes o compromisso da AWS de atender às altas expectativas para provedores de serviço de nuvem definidas pelo setor de serviços financeiros em Singapura. Para obter mais informações, consulte Recursos do OSPAR.

Definição de preços do AWS Secrets Manager

Quando você usa o Secrets Manager, paga somente pelo que usa, e não há taxas mínimas ou de instalação. Não há cobrança para segredos que você marcou para exclusão. Para obter a lista de preços atual completa, consulte Definição de preço do AWS Secrets Manager.

Você pode usar a Chave gerenciada pela AWS (aws/secretsmanager) que o Secrets Manager cria para criptografar os segredos gratuitamente. Se você criar suas próprias chaves do KMS para criptografar os segredos, a AWS cobrará a taxa atual da AWS KMS. Para obter mais informações, consulte Preço do AWS Key Management Service.

Se você habilitar o AWS CloudTrail na sua conta, poderá obter logs de chamadas da API feitas pelo Secrets Manager. O Secrets Manager registra todos os eventos como eventos de gerenciamento. O AWS CloudTrail armazena a primeira cópia de todos os eventos de gerenciamento gratuitamente. No entanto, se você habilitar as notificações, poderão ser cobradas taxas pelo armazenamento de logs do Amazon S3 e pelo uso do Amazon SNS. Além disso, se você configurar trilhas adicionais, as cópias adicionais de eventos de gerenciamento poderão ter custos. Para obter mais informações, consulte Preço do AWS CloudTrail.

Suporte e comentários para o AWS Secrets Manager

Os seus comentários são bem-vindos. Envie comentários para awssecretsmanager-feedback@amazon.com. Você também pode publicar seus comentários e perguntas no nosso fórum de suporte da AWS Secrets Manager. Para obter mais informações sobre os fóruns de suporte da AWS, consulte Ajuda com os fóruns.

Para fazer solicitações de recursos para o console do AWS Secrets Manager ou para as ferramentas de linha de comando, recomendamos enviá-las por e-mail para awssecretsmanager-feedback@amazon.com.

Para enviar feedback sobre a nossa documentação, você pode usar o link de feedback na parte inferior de cada página da web. Seja específico sobre o problema que você está enfrentando e porque a documentação não foi útil para você. Conte-nos o que viu e o que você esperava. Isso nos ajudará a entender o que precisamos fazer para melhorar a documentação.

Veja a seguir alguns recursos adicionais disponíveis para você:

  • Catálogo de treinamento da AWS: cursos de especialidades e com base em função, bem como laboratórios autoguiados para ajudar a aprimorar suas habilidades na AWS e obter experiência prática.

  • Ferramentas do desenvolvedor da AWS – Ferramentas e recursos que fornecem documentação, exemplos de código, notas de release e outras informações para ajudar você a construir aplicações inovadoras com a AWS.

  • AWS Support Center: o centro para criar e gerenciar os seus casos da AWS Support. Inclui links para outros recursos úteis, como fóruns, perguntas frequentes técnicas, status de integridade do serviço e AWS Trusted Advisor.

  • AWS Support – um canal de suporte de resposta rápida e com atendimento individual para ajudar a construir e a executar aplicações na nuvem.

  • Entrar em contato conosco: um ponto central de contato para consultas sobre faturamento, contas, eventos e outros problemas da AWS.

  • Termos do site da AWS: informações detalhadas sobre nossos direitos autorais e marca registrada; sua conta, licença e acesso ao site, entre outros tópicos.