O que é o AWS Secrets Manager?

O AWS Secrets Manager ajuda você a gerenciar, recuperar e alternar credenciais do banco de dados, credenciais de aplicação, tokens OAuth, chaves de API e outros segredos durante seus ciclos de vida. Muitos serviços da AWS usam o Secrets Manager para armazenar segredos.

O Secrets Manager ajuda você a melhorar seu procedimento de segurança, porque você não precisa mais de credenciais de codificação rígida no código-fonte da aplicação. Armazenar as credenciais no Secrets Manager evita um possível comprometimento por qualquer pessoa que possa inspecionar sua aplicação ou os componentes. Você substitui credenciais de codificação rígida com uma chamada de runtime ao serviço Secrets para recuperar as credenciais dinamicamente quando necessário.

Com o Secrets Manager, você pode configurar uma programação de alternância automática para seus segredos. Isso permite que você substitua os segredos de longo prazo por outros de curto prazo, reduzindo significativamente o risco de comprometimento. Como as credenciais não são mais armazenadas na aplicação, a alternância das credenciais não exige mais a atualização das aplicações e a implantação de alterações nos clientes da aplicação.

Para outros tipos de segredos que você pode usar em sua organização:

• Credenciais da AWS: recomendamos o AWS Identity and Access Management.

• Chaves de criptografia: recomendamos o AWS Key Management Service.

• Chaves SSH: recomendamos o Amazon EC2 Instance Connect.

• Chaves privadas e certificados: recomendamos o AWS Certificate Manager.

Conceitos básicos do Secrets Manager

Se você é novo no Secrets Manager, comece com os Conceitos do AWS Secrets Manager ou um dos seguintes tutoriais:

• Mover segredos codificados para o AWS Secrets Manager

• Mover credenciais de banco de dados codificadas para o AWS Secrets Manager

• Configurar alternância de usuários alternados para o AWS Secrets Manager

• Configurar a alternância de usuário único para o AWS Secrets Manager

Outras tarefas que você pode realizar com segredos:

• Criar e gerenciar segredos

• Controlar o acesso a seus segredos

• Recuperar segredos

• Alternar segredos

• Monitorar segredos

• Auditoria de segredos para conformidade

• Criar de segredos no AWS CloudFormation

Compatibilidade com padrões

O AWS Secrets Manager passou por uma auditoria dos múltiplos padrões e poderá fazer parte da sua solução quando você precisar obter uma certificação de conformidade. Para obter mais informações, consulte Validação de conformidade do AWS Secrets Manager.

Preços

Ao usar o Secrets Manager, você paga somente pelo que usa, e não há taxas mínimas ou de configuração. Não há cobrança para segredos que são marcados para exclusão. Para obter a lista de preços atual completa, consulte Definição de preço do AWS Secrets Manager.

Você pode usar a Chave gerenciada pela AWS aws/secretsmanager que o Secrets Manager cria para criptografar os segredos gratuitamente. Se você criar suas próprias chaves do KMS para criptografar os segredos, a AWS cobrará a taxa atual da AWS KMS. Para obter mais informações, consulte Preços do AWS Key Management Service.

Quando você ativa a alternância automática (exceto a alternância gerenciada), o Secrets Manager usa uma função do AWS Lambda para alternar o segredo e você receberá uma cobrança pela função de alternância segundo as taxas atuais do Lambda. Para obter mais informações, consulte Preços do AWS Lambda.

Se você habilitar o AWS CloudTrail na sua conta, poderá obter logs de chamadas da API feitas pelo Secrets Manager. O Secrets Manager registra todos os eventos como eventos de gerenciamento. O AWS CloudTrail armazena a primeira cópia de todos os eventos de gerenciamento gratuitamente. No entanto, se você habilitar as notificações, poderão ser cobradas taxas pelo armazenamento de logs do Amazon S3 e pelo uso do Amazon SNS. Além disso, se você configurar trilhas adicionais, as cópias adicionais de eventos de gerenciamento poderão ter custos. Para obter mais informações, consulte Preço do AWS CloudTrail.