的加密最佳實務 AWS Secrets Manager

AWS Secrets Manager 可協助您將程式碼中的硬式編碼憑證 (包括密碼) 取代為 Secrets Manager 的 API 呼叫，以便透過程式設計方法來擷取機密。Secrets Manager 與 整合 AWS KMS ，使用 保護的唯一資料金鑰來加密每個秘密值的每個版本 AWS KMS key。此整合使用永遠不會保持 AWS KMS 未加密的加密金鑰來保護存放的秘密。您也可以定義 KMS 金鑰的自訂許可，以稽核產生、加密及解密用來保護儲存機密的資料金鑰的操作。如需詳細資訊，請參閱 AWS Secrets Manager中的機密加密和解密。

請考慮此服務的下列加密最佳實務：

• 在大多數情況下，我們建議使用 aws/secretsmanager AWS 受管金鑰來加密秘密。使用它無需付費。

• 若要能夠從另一個帳戶存取秘密，或將金鑰政策套用至加密金鑰，請使用客戶受管金鑰來加密秘密。

  • 在金鑰政策中，將值指派給 kms:ViaService secretsmanager.<region>.amazonaws.com 條件金鑰。這會將金鑰的使用限制為僅來自 Secrets Manager 的請求。

  • 若要進一步限制金鑰的使用僅限於具有正確內容的 Secrets Manager 請求，請使用 Secrets Manager 加密內容中的金鑰或值，作為使用 KMS 金鑰的條件，方法是建立：

    • IAM 政策或金鑰政策中的字串條件運算子

    • 授權中的授予限制條件