Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS Secrets Manager bewährte Verfahren
Secrets Manager bietet eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden stellen allgemeine Richtlinien und keine vollständige Sicherheitslösung dar. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.
**Topics**
+ [Speichern Sie Anmeldeinformationen und andere vertrauliche Informationen in AWS Secrets Manager](#best-practices-store-secrets-safely)
+ [Finden Sie ungeschützte Geheimnisse in Ihrem Code](#w2aab9b9)
+ [Wählen Sie einen Verschlüsselungsschlüssel für Ihr Geheimnis](#w2aab9c11)
+ [Verwenden Sie Caching, um Geheimnisse abzurufen](#w2aab9c13)
+ [Rotieren von -Secrets](#w2aab9c15)
+ [Mindern Sie die Risiken der Verwendung von CLI](#w2aab9c17)
+ [Beschränken Sie den Zugriff auf Geheimnisse](#w2aab9c19)
+ [Geheimnisse replizieren](#w2aab9c21)
+ [Überwachung von Geheimnissen](#w2aab9c23)
+ [Betreiben Sie Ihre Infrastruktur in privaten Netzwerken](#w2aab9c25)
## Speichern Sie Anmeldeinformationen und andere vertrauliche Informationen in AWS Secrets Manager
Secrets Manager kann Ihnen dabei helfen, Ihre Sicherheitslage und Compliance zu verbessern und das Risiko eines unbefugten Zugriffs auf Ihre vertraulichen Informationen zu verringern. Secrets Manager verschlüsselt ruhende Geheimnisse mithilfe von Verschlüsselungsschlüsseln, die Sie besitzen und in AWS Key Management Service (AWS KMS) speichern. Wenn Sie ein Geheimnis abrufen, entschlüsselt Secrets Manager das Geheimnis und überträgt es sicher über TLS an Ihre lokale Umgebung. Weitere Informationen finden Sie unter [Erstelle ein AWS Secrets Manager Geheimnis](create_secret.md).
## Finden Sie ungeschützte Geheimnisse in Ihrem Code
CodeGuru Reviewer ist in Secrets Manager integriert, um einen Geheimnisdetektor zu verwenden, der ungeschützte Geheimnisse in Ihrem Code findet. Der Secrets Detector sucht nach fest codierten Passwörtern, Datenbankverbindungszeichenfolgen, Benutzernamen und mehr. Weitere Informationen finden Sie unter [Finden Sie mit Amazon CodeGuru Reviewer ungeschützte Geheimnisse in Ihrem Code](integrating-codeguru.md).
Amazon Q kann Ihre Codebasis auf Sicherheitslücken und Probleme mit der Codequalität scannen, um den Status Ihrer Anwendungen während des gesamten Entwicklungszyklus zu verbessern. Weitere Informationen finden Sie unter [Scannen Ihres Codes mit Amazon Q](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/security-scans.html) im *Amazon Q Developer User Guide*.
## Wählen Sie einen Verschlüsselungsschlüssel für Ihr Geheimnis
In den meisten Fällen empfehlen wir, den `aws/secretsmanager` AWS verwalteten Schlüssel zum Verschlüsseln von Geheimnissen zu verwenden. Für die Nutzung fallen keine Kosten an.
Um von einem anderen Konto aus auf ein Geheimnis zugreifen oder eine Schlüsselrichtlinie auf den Verschlüsselungsschlüssel anwenden zu können, verwenden Sie einen vom Kunden verwalteten Schlüssel, um das Geheimnis zu verschlüsseln.
+ Weisen Sie in der Schlüsselrichtlinie dem [https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service)Bedingungsschlüssel den Wert `secretsmanager..amazonaws.com` zu. Dadurch wird die Verwendung des Schlüssels auf Anfragen von Secrets Manager beschränkt.
+ Um die Verwendung des Schlüssels weiter auf Anfragen von Secrets Manager mit dem richtigen Kontext zu beschränken, verwenden Sie Schlüssel oder Werte im [Secrets Manager Manager-Verschlüsselungskontext](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html#security-encryption-encryption-context) als Bedingung für die Verwendung des KMS-Schlüssels, indem Sie Folgendes erstellen:
+ Ein [String-Bedingungsoperator](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String) in einer IAM-Richtlinie oder Schlüsselrichtlinie
+ Eine [Vergabeeinschränkung](https://docs.aws.amazon.com/kms/latest/APIReference/API_GrantConstraints.html) in einer Vergabe
Weitere Informationen finden Sie unter [Geheime Verschlüsselung und Entschlüsselung in AWS Secrets Manager](security-encryption.md).
## Verwenden Sie Caching, um Geheimnisse abzurufen
Um Ihre Secrets am effizientesten zu nutzen, empfehlen wir Ihnen, eine der folgenden unterstützten Secrets Manager Manager-Caching-Komponenten zu verwenden, um Ihre Secrets zwischenzuspeichern und sie nur bei Bedarf zu aktualisieren:
+ [Java mit clientseitigem Caching](retrieving-secrets_cache-java.md)
+ [Python mit clientseitigem Caching](retrieving-secrets_cache-python.md)
+ [.NET mit clientseitigem Caching](retrieving-secrets_cache-net.md)
+ [Entscheiden Sie sich für clientseitiges Caching](retrieving-secrets_cache-go.md)
+ [Rust mit clientseitigem Caching](retrieving-secrets_cache-rust.md)
+ [AWS Lambda-Erweiterung für Parameter und Geheimnisse](retrieving-secrets_lambda.md)
+ [Verwenden Sie AWS Secrets Manager Geheimnisse in Amazon Elastic Kubernetes Service](integrate_eks.md)
+ Wird verwendet[Den AWS Secrets Manager Agenten verwenden](secrets-manager-agent.md), um die Verwendung von Secrets Manager in Umgebungen wie Amazon Elastic Container Service AWS Lambda, Amazon Elastic Kubernetes Service und Amazon Elastic Compute Cloud zu standardisieren.
## Rotieren von -Secrets
Wenn Sie Secrets für lange Zeit nicht ändern, steigt die Wahrscheinlichkeit ihrer Kompromittierung. Mit Secrets Manager können Sie die automatische Rotation bis zu alle vier Stunden einrichten. Secrets Manager bietet zwei Strategien für die Rotation: [Einzelbenutzer](rotation-strategy.md#rotating-secrets-one-user-one-password) und[Wechselnde Benutzer](rotation-strategy.md#rotating-secrets-two-users). Weitere Informationen finden Sie unter [AWS Secrets Manager Geheimnisse rotieren](rotating-secrets.md).
## Mindern Sie die Risiken der Verwendung von CLI
Wenn Sie die AWS CLI zum Aufrufen von AWS Vorgängen verwenden, geben Sie diese Befehle in einer Befehlsshell ein. Die meisten Befehlsshells bieten Funktionen, die Ihre Geheimnisse gefährden könnten, wie z. B. die Protokollierung und die Möglichkeit, den zuletzt eingegebenen Befehl zu sehen. Bevor Sie den AWS CLI zur Eingabe vertraulicher Informationen verwenden, sollten Sie dies unbedingt tun[Reduzieren Sie die Risiken, die mit der Verwendung von AWS CLI zur Aufbewahrung Ihrer Geheimnisse verbunden sind AWS Secrets Manager](security_cli-exposure-risks.md).
## Beschränken Sie den Zugriff auf Geheimnisse
Verwenden Sie in IAM-Richtlinienerklärungen, die den Zugriff auf Ihre Geheimnisse kontrollieren, das Prinzip des [geringsten Zugriffs](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege). Sie können [IAM-Rollen und -Richtlinien, [Ressourcenrichtlinien](auth-and-access_resource-policies.md) und die](auth-and-access_iam-policies.md) [attributebasierte Zugriffskontrolle](auth-and-access-abac.md) (ABAC) verwenden. Weitere Informationen finden Sie unter [Authentifizierung und Zugriffskontrolle für AWS Secrets Manager](auth-and-access.md).
**Topics**
+ [Blockieren Sie den umfassenden Zugriff auf geheime Daten](#iam-contextkeys-blockpublicpolicy)
+ [Seien Sie vorsichtig mit IP-Adressbedingungen in Richtlinien](#iam-contextkeys-ipaddress)
+ [Beschränken Sie Anfragen mit VPC-Endpunktbedingungen](#iam-contextkeys-vpcendpoint)
### Blockieren Sie den umfassenden Zugriff auf geheime Daten
In Identitätsrichtlinien, welche die Aktion `PutResourcePolicy` zulassen, empfehlen wir `BlockPublicPolicy: true` zu verwenden. Diese Bedingung bedeutet, dass Benutzer eine Ressourcenrichtlinie nur an ein Geheimnis anhängen können, wenn die Richtlinie keinen breiten Zugriff zulässt.
Secrets Manager verwendet das Automated Reasoning Zelkova zur Analyse von Ressourcenrichtlinien für den breiten Zugriff. Weitere Informationen zu Zelkova finden Sie im [Sicherheits-Blog AWS unter So hilft Ihnen automatisiertes Denken dabei, Sicherheit im großen Maßstab zu erreichen](https://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/). AWS
Im folgenden Beispiel wird gezeigt, wie `BlockPublicPolicy` verwendet wird.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "secretsmanager:PutResourcePolicy",
"Resource": "arn:aws:secretsmanager:us-east-1:123456789012:secret:secretName-AbCdEf",
"Condition": {
"Bool": {
"secretsmanager:BlockPublicPolicy": "true"
}
}
}
}
```
------
### Seien Sie vorsichtig mit IP-Adressbedingungen in Richtlinien
Bei Angabe der [Bedingungsoperatoren für IP-Adressen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress) oder des `aws:SourceIp`-Bedingungsschlüssels in einer Richtlinienanweisung, die den Zugriff auf Secrets Manager zulässt oder verweigert, ist Vorsicht geboten. Wenn Sie beispielsweise eine Richtlinie anhängen, die AWS Aktionen auf Anfragen aus dem IP-Adressbereich Ihres Unternehmensnetzwerks auf ein Geheimnis beschränkt, funktionieren Ihre Anfragen als IAM-Benutzer, der die Anfrage aus dem Unternehmensnetzwerk aufruft, erwartungsgemäß. Wenn Sie jedoch anderen Diensten ermöglichen, in Ihrem Namen auf das Geheimnis zuzugreifen, z. B. wenn Sie die Rotation mit einer Lambda-Funktion aktivieren, ruft diese Funktion die Secrets Manager Manager-Operationen von einem AWS-internen Adressraum aus auf. Anfragen, die von der Richtlinie mit dem IP-Adressfilter betroffen sind, schlagen fehl.
Zudem wird der Bedingungsschlüssel `aws:sourceIP` weniger wirksam, wenn die Anfrage von einem Amazon VPC-Endpunkt kommt. Um Anfragen auf einen bestimmten VPC-Endpunkt zu beschränken, verwenden Sie [Beschränken Sie Anfragen mit VPC-Endpunktbedingungen](#iam-contextkeys-vpcendpoint).
### Beschränken Sie Anfragen mit VPC-Endpunktbedingungen
Um den Zugriff auf Anfragen von einer bestimmten VPC oder einem VPC-Endpunkt zuzulassen oder zu verweigern, verwenden Sie `aws:SourceVpc`, um den Zugriff auf Anfragen von der angegebenen VPC zu beschränken, oder `aws:SourceVpce`, um den Zugriff auf Anfragen von dem angegebenen VPC-Endpunkt zu beschränken. Siehe [Beispiel: Berechtigungen und VPCs](auth-and-access_resource-policies.md#auth-and-access_examples_vpc).
+ `aws:SourceVpc` beschränkt den Zugriff auf Anforderungen von der angegebenen VPC.
+ `aws:SourceVpce` beschränkt den Zugriff auf Anforderungen vom angegebenen VPC-Endpunkt.
Wenn Sie diese Bedingungsschlüssel in einer Ressourcen-Richtlinienanweisung verwenden, die Zugriff auf Secrets-Manager-Secrets zulässt oder verweigert, verweigern Sie möglicherweise versehentlich den Zugriff auf Services, die Secrets Manager verwenden, um für Sie auf Secrets zuzugreifen. Nur einige AWS Dienste können mit einem Endpunkt in Ihrer VPC ausgeführt werden. Wenn Sie Anforderungen für ein Secret auf eine VPC oder einen VPC-Endpunkt beschränken, können Aufrufe an Secrets Manager von einem Service, der nicht für den Service konfiguriert ist, fehlschlagen.
Siehe [Verwenden eines AWS Secrets Manager VPC-Endpunkts](vpc-endpoint-overview.md).
## Geheimnisse replizieren
Secrets Manager kann Ihre Secrets automatisch in mehrere AWS Regionen replizieren, um Ihre Anforderungen an Ausfallsicherheit oder Notfallwiederherstellung zu erfüllen. Weitere Informationen finden Sie unter [Replizieren Sie AWS Secrets Manager Geheimnisse in allen Regionen](replicate-secrets.md).
## Überwachung von Geheimnissen
Secrets Manager ermöglicht Ihnen die Prüfung und Überwachung von Geheimnissen durch die Integration mit AWS Protokollierungs-, Überwachungs- und Benachrichtigungsdiensten. Weitere Informationen finden Sie unter:
+ [AWS Secrets Manager Ereignisse protokollieren mit AWS CloudTrail](monitoring-cloudtrail.md)
+ [Überwachen Sie AWS Secrets Manager mit Amazon CloudWatch](monitoring-cloudwatch.md)
+ [Überwachen Sie AWS Secrets Manager Geheimnisse auf Einhaltung der Vorschriften, indem Sie AWS Config](configuring-awsconfig-rules.md)
+ [Secrets Manager Manager-Kosten überwachen](monitor-secretsmanager-costs.md)
+ [Erkennen Sie Bedrohungen mit Amazon GuardDuty](monitoring-guardduty.md)
## Betreiben Sie Ihre Infrastruktur in privaten Netzwerken
Wir empfehlen, einen Großteil der Infrastruktur in privaten Netzwerken auszuführen, die vom öffentlichen Internet aus nicht zugänglich sind, sofern dies möglich ist. Sie können eine private Verbindung zwischen Ihrer VPC und Secrets Manager herstellen, indem Sie einen *Schnittstellen-VPC-Endpunkt* erstellen. Weitere Informationen finden Sie unter [Verwenden eines AWS Secrets Manager VPC-Endpunkts](vpc-endpoint-overview.md).