的加密最佳实践 AWS Secrets Manager

AWS Secrets Manager 有助于您通过对 Secrets Manager 的 API 调用来替换代码中的硬编码凭证（包括密码），以编程方式检索密钥。Secrets Manager 与 AWS KMS 集成，使用受保护的唯一数据密钥对每个密钥值的每个版本进行加密 AWS KMS key。这种集成使用永远不会保持 AWS KMS 未加密状态的加密密钥来保护存储的机密。您还可以对 KMS 密钥定义自定义权限，以审计生成、加密和解密用于保护存储密钥的数据密钥的操作。有关更多信息，请参阅 Secret encryption and decryption in AWS Secrets Manager。

考虑下面针对该服务的加密最佳实践：

• 在大多数情况下，我们建议使用aws/secretsmanager AWS 托管密钥来加密机密。使用它不产生任何费用。

• 为了能够从其他账户访问密钥或将密钥政策应用于加密密钥，请使用客户自主管理型密钥对密钥进行加密。

  • 在密钥策略中，为 k m secretsmanager.<region>.amazonaws.com s: ViaService 条件密钥分配值。这会将密钥的使用限制为仅限来自 Secrets Manager 的请求。

  • 为了进一步将密钥的使用限制为仅来自 Secrets Manager 且具有正确上下文的请求，请通过创建以下项将 Secrets Manager 加密上下文中的键或值用作使用 KMS 密钥的条件：

    • IAM 策略或密钥政策中的字符串条件运算符

    • 在授权中创建授权约束