Verwaltung von Geheimnissen und Ressourcenrichtlinien - Amazon Connect
Beispiel für eine ressourcenbasierte Richtlinie für Secrets Manager Manager-GeheimnisseBeispiel für eine ressourcenbasierte Richtlinie für s AWS KMS keyEine ressourcenbasierte Richtlinie an Ihr Secrets Manager Manager-Geheimnis anhängenEine ressourcenbasierte Richtlinie an Ihren KMS-Schlüssel anhängenRotierende API-Schlüssel

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltung von Geheimnissen und Ressourcenrichtlinien

Wenn Sie einen Sprachanbieter eines Drittanbieters konfigurieren, müssen Sie in Secrets Manager ein Geheimnis erstellen, das den API-Schlüssel des Sprachanbieters enthält. Das Erstellen des Geheimnisses erfolgt in zwei Schritten:

  • Erstellen Sie das Geheimnis, das den API-Schlüssel enthält. Anweisungen finden Sie unter Ein AWS Secrets Manager Geheimnis erstellen.

  • Konfigurieren Sie die erforderlichen Berechtigungen:

    • Hängen Sie dem Secret eine ressourcenbasierte Richtlinie an.

    • Hängen Sie dem KMS-Schlüssel (nicht dem API-Schlüssel), der dem Geheimnis zugeordnet ist, eine ressourcenbasierte Richtlinie an. Der KMS-Schlüssel schützt den API-Schlüssel im Secret.

    Diese Richtlinien ermöglichen Amazon Connect den Zugriff auf den API-Schlüssel innerhalb des Secrets. Beachten Sie, dass Sie den aws/secretsmanager Standard-KMS-Schlüssel nicht verwenden können. Sie müssen einen neuen Schlüssel erstellen oder einen vorhandenen, vom Kunden verwalteten Schlüssel verwenden. Weitere Informationen darüber, wie KMS-Schlüssel geheime Schlüssel schützen, finden Sie unter Secrets Ver- und Entschlüsselung in Secrets Manager.

Stellen Sie sicher, dass die ressourcenbasierte Richtlinie für den geheimen Schlüssel die Bedingungen aws:SourceAccount und aws:SourceArn verwirrter Stellvertreter enthält (siehe Das Problem mit dem verwirrten Stellvertreter) und dass die ressourcenbasierte Richtlinie für den KMS-Schlüssel die Bedingung enthält. kms:EncryptionContext:SecretARN Dadurch wird sichergestellt, dass Amazon Connect nur im Kontext einer einzelnen spezifischen Instance auf Ihren geheimen API-Schlüssel zugreifen kann und nur im Kontext dieser Instance und des spezifischen Secrets auf Ihren KMS-Schlüssel zugreifen kann.

Beispiel für eine ressourcenbasierte Richtlinie für Secrets Manager Manager-Geheimnisse

Im Folgenden finden Sie ein Beispiel für eine ressourcenbasierte Richtlinie, die Sie mit Ihrem Secret verknüpfen können.


{
  "Version":"2012-10-17",		 	 	                    
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "connect.amazonaws.com"
        ]
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:sourceArn": "///the ARN of your Amazon Connect instance///"
        },
        "StringEquals": {
          "aws:sourceAccount": "///Your account ID///"
        }
      }
    }
  ]
}

Beispiel für eine ressourcenbasierte Richtlinie für s AWS KMS key

Im Folgenden finden Sie ein Beispiel für eine ressourcenbasierte Richtlinie, die Sie an Ihren KMS-Schlüssel anhängen können.


{
  "Version":"2012-10-17",		 	 	                    
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "connect.amazonaws.com"
        ]
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:sourceArn": "///the ARN of your Amazon Connect instance///"
        },
        "StringEquals": {
          "aws:sourceAccount": "///Your account ID///",
          "kms:EncryptionContext:SecretARN": "///the ARN of your secrets manager secret///"
        }
      }
    }
  ]
}

Eine ressourcenbasierte Richtlinie an Ihr Secrets Manager Manager-Geheimnis anhängen

Um Ihrem Secret eine ressourcenbasierte Richtlinie anzuhängen, rufen Sie die Secrets Manager-Konsole in der auf AWS-Managementkonsole, navigieren Sie zu Ihrem Secret, wählen Sie Berechtigungen bearbeiten oder Ressourcenberechtigungen und fügen Sie dann die Ressourcenrichtlinie direkt auf der Seite hinzu oder ändern Sie sie, sodass sie dem Beispiel ähnelt. Sie können die Ressourcenrichtlinie auch über den put-resource-policy Befehl AWS CLI's oder programmgesteuert mithilfe der API-Operation anhängen. PutResourcePolicy

Eine ressourcenbasierte Richtlinie an Ihren KMS-Schlüssel anhängen

Um Ihrem KMS-Schlüssel eine ressourcenbasierte Richtlinie anzuhängen, rufen Sie die AWS Key Management Service Konsole in der auf AWS-Managementkonsole, navigieren Sie zu Ihrem KMS-Schlüssel und bearbeiten Sie Ihre Schlüsselrichtlinie so, dass sie wie im Beispiel aussieht. Sie können den Schlüssel auch über den put-key-policy Befehl AWS CLI's oder programmgesteuert mithilfe der API-Operation aktualisieren. PutKeyPolicy

Rotierende API-Schlüssel

Wir empfehlen, die API-Schlüssel mindestens alle 90 Tage zu rotieren, um das Risiko von Kompromissen zu minimieren und einen gut durchdachten Schlüsselrotationsprozess für Notfallsituationen aufrechtzuerhalten.

Um einen API-Schlüssel zu rotieren, müssen Sie das Geheimnis, in dem er enthalten ist, rotieren. Weitere Informationen zur Rotation von Secrets Manager-Geheimnissen finden Sie im Secrets Manager Manager-Benutzerhandbuch unter Rotation von Secrets Manager-Geheimnissen. Wenn Sie einen API-Schlüssel rotieren, sollten Sie warten, bis die Nutzung des vorherigen Schlüssels auf Null gesunken ist, bevor Sie den alten API-Schlüssel widerrufen, um sicherzustellen, dass laufende Anfragen nicht beeinträchtigt werden.