Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Bewährte Methoden zur Verschlüsselung für AWS Secrets Manager
<a name="secrets-manager"></a>

Mit [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) können Sie fest codierte Anmeldeinformationen im Code (einschließlich Passwörter) durch einen API-Aufruf an Secrets Manager ersetzen und das Geheimnis programmgesteuert abrufen. Secrets Manager lässt sich integrieren AWS KMS , um jede Version jedes geheimen Werts mit einem eindeutigen Datenschlüssel zu verschlüsseln, der durch einen AWS KMS key geschützt ist. Diese Integration schützt gespeicherte Geheimnisse mit Verschlüsselungsschlüsseln, die niemals AWS KMS unverschlüsselt bleiben. Sie können auch benutzerdefinierte Berechtigungen für den KMS-Schlüssel definieren, um die Vorgänge zu prüfen, die die Datenschlüssel zum Schutz gespeicherter Geheimnisse erzeugen, verschlüsseln und entschlüsseln. Weitere Informationen finden Sie unter [Verschlüsseln und Entschlüsseln von Geheimnissen in AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html).

Bedenken Sie die folgenden bewährten Verschlüsselungsmethoden für diesen Service:
+ In den meisten Fällen empfehlen wir, den `aws/secretsmanager` AWS verwalteten Schlüssel zum Verschlüsseln von Geheimnissen zu verwenden. Für die Nutzung fallen keine Kosten an.
+ Um von einem anderen Konto aus auf ein Geheimnis zugreifen oder eine Schlüsselrichtlinie auf den Verschlüsselungsschlüssel anwenden zu können, verwenden Sie einen vom Kunden verwalteten Schlüssel, um das Geheimnis zu verschlüsseln.
  + Weisen Sie in der Schlüsselrichtlinie dem ViaService Bedingungsschlüssel [kms:](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service) den Wert `secretsmanager.<region>.amazonaws.com` zu. Dadurch wird die Verwendung des Schlüssels auf Anfragen von Secrets Manager beschränkt.
  + Um die Verwendung des Schlüssels weiter auf Anfragen von Secrets Manager mit dem richtigen Kontext zu beschränken, verwenden Sie Schlüssel oder Werte im [Secrets Manager Manager-Verschlüsselungskontext](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html#security-encryption-encryption-context) als Bedingung für die Verwendung des KMS-Schlüssels, indem Sie Folgendes erstellen:
    + Ein [String-Bedingungsoperator](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String) in einer IAM-Richtlinie oder Schlüsselrichtlinie
    + Eine [Vergabeeinschränkung](https://docs.aws.amazon.com/kms/latest/APIReference/API_GrantConstraints.html) in einer Vergabe