AWS Secrets Manager 中的資料保護 - AWS Secrets Manager
靜態加密傳輸中加密網際網路流量隱私權加密金鑰管理

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Secrets Manager 中的資料保護

AWS 共同的責任模型適用於 AWS Secrets Manager 中的資料保護。如此模型所述,AWS 負責保護執行所有 AWS 雲端 的全球基礎設施。您必須負責維護在此基礎設施上託管之內容的控制權。此內容包括您所使用 AWS 服務 的安全組態和管理任務。如需有關資料隱私權的詳細資訊,請參閱資料隱私權常見問答集如需有關歐洲資料保護的相關資訊,請參閱 AWS 安全性部落格上的 AWS 共同的責任模型和 GDPR 部落格文章。

基於資料保護目的,建議您使用 AWS 帳戶 (IAM) 保護 AWS Identity and Access Management 憑證,並設定個別使用者帳戶。如此一來,每個使用者都只會獲得授予完成其任務所必須的許可。我們也建議您採用下列方式保護資料:

靜態加密

Secrets Manager 透過 AWS Key Management Service (AWS KMS) 使用加密功能來保護靜態資料的機密性。AWS KMS 提供許多 AWS 服務使用的金鑰存放和加密服務。Secrets Manager 中的每個秘密,都使用唯一資料金鑰加密。每個資料金鑰都由 KMS 金鑰保護。您可以選擇為該帳戶搭配 Secrets Manager AWS 受管金鑰 使用預設加密,或者可以在 AWS KMS 中建立自己的客戶管理金鑰。使用客戶管理金鑰,可讓您更精細進行對 KMS 金鑰活動的授權控制。如需更多詳細資訊,請參閱 秘密加密和解密 AWS Secrets Manager

傳輸中加密

Secrets Manager 會提供安全且私有的端點,以供您加密傳輸中的資料。安全且私有的端點可讓 AWS 保護對於 Secrets Manager 之 API 請求的完整性。AWS 需要呼叫者使用 X.509 憑證和/或 Secrets Manager 私密存取金鑰簽署 API 呼叫。Signature 第 4 版簽署程序 (Sigv4) 規定了這項要求。

如果使用 AWS Command Line Interface (AWS CLI) 或任何 AWS 開發套件來呼叫 AWS,您要設定要使用的存取金鑰。然後這些工具會自動使用存取金鑰來為您簽署請求。請參閱 降低使用 AWS CLI 來存放 AWS Secrets Manager 秘密的風險

網際網路流量隱私權

AWS 提供了在透過已知和私人網路路由來路由傳送流量時,可供維護隱私權的選項。

服務和內部部署用戶端與應用程式之間的流量。

在您的私有網路和 AWS Secrets Manager 之間,您有兩個連線選項:

相同區域中 AWS 資源間的流量

如果您想要保護 Secrets Manager 與 AWS 中 API 用戶端之間的流量,請設定 AWS PrivateLink,以便以私有方式存取 Secrets Manager API 端點。

加密金鑰管理

當 Secrets Manager 需要加密新版本的受保護秘密資料時,Secrets Manager 會將請求傳送給 AWS KMS,以便從 KMS 金鑰產生新的資料金鑰。Secrets Manager 使用此資料金鑰進行信封加密。Secrets Manager 會將加密的資料金鑰與加密的秘密一起存放。當秘密需要解密時,Secrets Manager 會要求 AWS KMS 解密資料金鑰。Secrets Manager 接著會使用已解密的資料金鑰來解密加密的秘密。Secrets Manager 絕不會以未加密的形式存放資料金鑰,而且會盡快將其從記憶體中移除。如需更多詳細資訊,請參閱 秘密加密和解密 AWS Secrets Manager