本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Secrets Manager 中的資料保護
AWS 共同的責任模型
基於資料保護目的,建議您使用 AWS 帳戶 (IAM) 保護 AWS Identity and Access Management 憑證,並設定個別使用者帳戶。如此一來,每個使用者都只會獲得授予完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
-
每個帳戶均要使用多重要素驗證 (MFA)。
-
使用 SSL/TLS 與 AWS 資源通訊。Secrets Manager 支援所有區域中的 TLS 1.2 和 1.3。Secrets Manager 也支援混合型適用於 TLS (PQTLS) 的後量子金鑰交換選項網路加密通訊協定。
-
使用存取金鑰 ID 和與 IAM 主體關聯的私密存取金鑰來簽署您對 Secrets Manager 的程式設計請求。或者,您可以使用 AWS Security Token Service (AWS STS) 來產生暫時性安全憑證以簽署請求。
-
使用 AWS CloudTrail 設定 API 和使用者活動記錄。請參閱 記錄 AWS Secrets Manager 事件 AWS CloudTrail。
-
如果您在透過命令列介面或 API 存取 AWS 時,需要 FIPS 140-2 驗證的加密模組,請使用 FIPS 端點。請參閱 AWS Secrets Manager 端點。
-
如果您使用 AWS CLI 來存取 Secrets Manager,降低使用 AWS CLI 來存放 AWS Secrets Manager 秘密的風險。
靜態加密
Secrets Manager 透過 AWS Key Management Service (AWS KMS) 使用加密功能來保護靜態資料的機密性。AWS KMS 提供許多 AWS 服務使用的金鑰存放和加密服務。Secrets Manager 中的每個秘密,都使用唯一資料金鑰加密。每個資料金鑰都由 KMS 金鑰保護。您可以選擇為該帳戶搭配 Secrets Manager AWS 受管金鑰 使用預設加密,或者可以在 AWS KMS 中建立自己的客戶管理金鑰。使用客戶管理金鑰,可讓您更精細進行對 KMS 金鑰活動的授權控制。如需更多詳細資訊,請參閱 秘密加密和解密 AWS Secrets Manager。
傳輸中加密
Secrets Manager 會提供安全且私有的端點,以供您加密傳輸中的資料。安全且私有的端點可讓 AWS 保護對於 Secrets Manager 之 API 請求的完整性。AWS 需要呼叫者使用 X.509 憑證和/或 Secrets Manager 私密存取金鑰簽署 API 呼叫。Signature 第 4 版簽署程序 (Sigv4) 規定了這項要求。
如果使用 AWS Command Line Interface (AWS CLI) 或任何 AWS 開發套件來呼叫 AWS,您要設定要使用的存取金鑰。然後這些工具會自動使用存取金鑰來為您簽署請求。請參閱 降低使用 AWS CLI 來存放 AWS Secrets Manager 秘密的風險。
網際網路流量隱私權
AWS 提供了在透過已知和私人網路路由來路由傳送流量時,可供維護隱私權的選項。
- 服務和內部部署用戶端與應用程式之間的流量。
-
在您的私有網路和 AWS Secrets Manager 之間,您有兩個連線選項:
-
AWS Site-to-Site VPN 連接。如需詳細資訊,請參閱什麼是 AWS Site-to-Site VPN?
-
AWS Direct Connect 連線。如需詳細資訊,請參閱什麼是 AWS Direct Connect?
-
- 相同區域中 AWS 資源間的流量
-
如果您想要保護 Secrets Manager 與 AWS 中 API 用戶端之間的流量,請設定 AWS PrivateLink
,以便以私有方式存取 Secrets Manager API 端點。
加密金鑰管理
當 Secrets Manager 需要加密新版本的受保護秘密資料時,Secrets Manager 會將請求傳送給 AWS KMS,以便從 KMS 金鑰產生新的資料金鑰。Secrets Manager 使用此資料金鑰進行信封加密。Secrets Manager 會將加密的資料金鑰與加密的秘密一起存放。當秘密需要解密時,Secrets Manager 會要求 AWS KMS 解密資料金鑰。Secrets Manager 接著會使用已解密的資料金鑰來解密加密的秘密。Secrets Manager 絕不會以未加密的形式存放資料金鑰,而且會盡快將其從記憶體中移除。如需更多詳細資訊,請參閱 秘密加密和解密 AWS Secrets Manager。