Segurança e permissões - AWS Secrets Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Segurança e permissões

Segredos externos gerenciados não exigem que você compartilhe privilégios de administrador de suas contas de aplicativos de terceiros com. AWS Em vez disso, o processo de rotação usa credenciais e metadados que você fornece para fazer chamadas de API autorizadas para o aplicativo de terceiros para atualizações e validação de credenciais.

Os segredos externos gerenciados mantêm os mesmos padrões de segurança dos outros tipos de segredos do Secrets Manager. Os valores secretos são criptografados em repouso usando suas chaves KMS e em trânsito usando TLS. O acesso aos segredos é controlado por meio de políticas do IAM e políticas baseadas em recursos. Ao usar uma chave gerenciada pelo cliente para criptografar seu segredo, você precisará atualizar a política do IAM da função de rotação e a política de confiança da CMK para fornecer as permissões necessárias para garantir a rotação bem-sucedida.

Para que a rotação funcione corretamente, você deve fornecer ao Secrets Manager permissões específicas para gerenciar o ciclo de vida secreto. Essas permissões podem ter como escopo os segredos individuais e seguir o princípio do menor privilégio. A função de rotação que você fornece é validada durante a configuração e usada exclusivamente para operações de rotação.

AWS Secrets Manager também oferece soluções de toque único para criar a política do IAM com as permissões necessárias para gerenciar o segredo ao criar o segredo por meio do console do Secrets Manager. As permissões para essa função são reduzidas para cada parceiro de integração em cada região.

Exemplo de política de permissões:

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowRotationAccess",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:PutSecretValue",
        "secretsmanager:UpdateSecretVersionStage"
      ],
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "secretsmanager:resource/Type": "SalesforceClientSecret"
        }
      }
    },
    {
      "Sid": "AllowPasswordGenerationAccess",
      "Action": [
        "secretsmanager:GetRandomPassword"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

Observação: a lista de tipos de segredos que estão disponíveis para SecretsManager:resource/type pode ser encontrada em Parceiros de Integração.

Exemplo de política de confiança:

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "SecretsManagerPrincipalAccess",
      "Effect": "Allow",
      "Principal": {
        "Service": "secretsmanager.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:*"
        }
      }
    }
  ]
}