的加密最佳實務 AWS Secrets Manager - AWS 方案指引

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

的加密最佳實務 AWS Secrets Manager

AWS Secrets Manager 可協助您將程式碼中的硬式編碼憑證 (包括密碼) 取代為 Secrets Manager 的 API 呼叫,以便透過程式設計方法來擷取機密。Secrets Manager 與 整合 AWS KMS ,使用 保護的唯一資料金鑰來加密每個秘密值的每個版本 AWS KMS key。此整合使用永遠不會保持 AWS KMS 未加密的加密金鑰來保護存放的秘密。您也可以定義 KMS 金鑰的自訂許可,以稽核產生、加密及解密用來保護儲存機密的資料金鑰的操作。如需詳細資訊,請參閱 AWS Secrets Manager中的機密加密和解密

請考慮此服務的下列加密最佳實務:

  • 在大多數情況下,我們建議使用 aws/secretsmanager AWS 受管金鑰來加密秘密。使用它無需付費。

  • 若要能夠從另一個帳戶存取秘密,或將金鑰政策套用至加密金鑰,請使用客戶受管金鑰來加密秘密。

    • 在金鑰政策中,將值指派給 kms:ViaService secretsmanager.<region>.amazonaws.com 條件金鑰。這會將金鑰的使用限制為僅來自 Secrets Manager 的請求。

    • 若要進一步限制金鑰的使用僅限於具有正確內容的 Secrets Manager 請求,請使用 Secrets Manager 加密內容中的金鑰或值,作為使用 KMS 金鑰的條件,方法是建立: