Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwendung AWS Secrets Manager verwalteter externer Geheimnisse zur Verwaltung von Geheimnissen von Drittanbietern
Bei verwalteten externen Geheimnissen handelt es sich um einen neuen Geheimtyp AWS Secrets Manager , mit dem Sie Anmeldeinformationen von Integrationspartnern speichern und automatisch austauschen können. Diese Funktion macht es überflüssig, benutzerdefinierte AWS Lambda Funktionen für rotierende Integrationspartnergeheimnisse zu erstellen und zu verwalten. Eine vollständige Liste aller integrierten Partner finden Sie unter [Integrationspartner](mes-partners.md).
Wenn Sie Anwendungen darauf erstellen AWS, müssen Ihre Workloads häufig über sichere Anmeldeinformationen wie API-Schlüssel, OAuth Token oder Anmeldeinformationspaare mit Anwendungen von Drittanbietern interagieren. Bisher mussten Sie maßgeschneiderte Ansätze für die Sicherung und Verwaltung dieser Anmeldeinformationen entwickeln, einschließlich der Erstellung komplexer Lambda-Rotationsfunktionen, die für jede Anwendung einzigartig waren und fortlaufende Wartung erforderten.
Managed External Secrets bietet einen standardisierten Ansatz für die Speicherung von Anmeldeinformationen von Drittanbietern in einem vordefinierten Format, das von jedem Partner vorgeschrieben wird. Die Funktion umfasst die automatische Rotation, die (standardmäßig auf der Konsole) während der Erstellung von Geheimnissen aktiviert ist, vollständige Transparenz und Benutzersteuerung für Workflows zur Geheimverwaltung sowie den gesamten Funktionsumfang von Secrets Manager, einschließlich detaillierter Rechteverwaltung, Beobachtbarkeit, Governance, Compliance, Notfallwiederherstellung und Überwachungskontrollen.
## Schlüssel-Features
Managed External Secrets bietet mehrere wichtige Funktionen, die die Verwaltung von Anmeldeinformationen von Drittanbietern vereinfachen:
+ **Lambda-freie verwaltete Rotation** macht den Aufwand für die Erstellung und Verwaltung benutzerdefinierter Rotationsfunktionen überflüssig. Wenn Sie ein externes erstellen, wird die Rotation automatisch aktiviert, ohne dass Lambda-Funktionen in Ihrem Konto bereitgestellt werden.
+ **Vordefinierte geheime Formate** stellen sicher, dass Geheimnisse ordnungsgemäß dem Integrationspartner zugeordnet werden können, und enthalten die für die Rotation erforderlichen Metadaten. Jeder Partner definiert das erforderliche Format.
+ Das **integrierte Partnerökosystem** bietet Unterstützung für mehrere Partner durch einen standardisierten Onboarding-Prozess. Partner lassen sich direkt in Secrets Manager integrieren, um programmatische Anleitungen für die Erstellung von Geheimnissen und Funktionen zur verwalteten Rotation anzubieten.
+ Durch die **vollständige Überprüfbarkeit** wird volle Transparenz gewährleistet, da alle Rotationsaktivitäten, Aktualisierungen geheimer Werte und Verwaltungsvorgänge AWS CloudTrail protokolliert werden.
# Verwaltete externe Geheimnisse (Partner)
Secrets Manager lässt sich nativ in Anwendungen von Drittanbietern integrieren, um die vom Partner gespeicherten Geheimnisse zu wechseln. Jeder Partner definiert die Metadaten und Felder für geheime Werte, die für die Rotation der Secrets erforderlich sind.
Der geheime Wert enthält Felder, die für die Verbindung mit Ihrem Drittanbieter-Client erforderlich sind und während des [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)Anrufs gespeichert werden. Die Rotationsmetadaten enthalten die Felder, die zur Aktualisierung des Geheimnisses während der Rotation und beim [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)Anruf verwendet werden. Diese Felder werden vom Integrationspartner definiert, um verwaltete Rotationsabläufe zu ermöglichen.
Damit die Rotation ordnungsgemäß funktioniert, müssen Sie Secrets Manager mit bestimmten Berechtigungen zur Verwaltung des geheimen Lebenszyklus ausstatten. Weitere Informationen finden Sie unter [Sicherheit und Berechtigungen](mes-security.md)
Die folgenden Themen enthalten eine Beschreibung der einzelnen Metadatenfelder, die für die Rotation des Secrets erforderlich sind, sowie eine Beschreibung der einzelnen Felder, die im Secrets Manager-Geheimnis für die Rotation erforderlich sind.
**Topics**
| Integrationspartner | Secret-Typ |
| --- | --- |
| Salesforce | [SalesforceClientSecret](mes-partner-salesforce.md) |
| BigID | [Großes IDClient Geheimnis](mes-partner-BigId.md) |
| Snowflake | [SnowflakeKeyPairAuthentication](mes-partner-Snowflake.md) |
# Das Geheimnis des Salesforce-Kunden
## Geheime Wertfelder
Die folgenden Felder müssen im Secrets Manager Manager-Geheimnis enthalten sein:
```
{
"consumerKey": "client ID",
"consumerSecret": "client secret",
"baseUri": "https://domain.my.salesforce.com",
"appId": "app ID",
"consumerId": "consumer ID"
}
```
consumerKey
Der Verbraucherschlüssel, auch bekannt als Client-ID, ist der Anmeldeinformationsbezeichner für die OAuth 2.0-Anmeldeinformationen. Sie können den Verbraucherschlüssel direkt aus den Salesforce External Client App OAuth Manager-Einstellungen abrufen.
consumerSecret
Das Consumer Secret, auch bekannt als Client Secret, ist das private Passwort, das zusammen mit dem Consumer-Schlüssel verwendet wird, um sich mithilfe des OAuth 2.0-Client-Anmeldedatenflusses zu authentifizieren. Sie können das Verbrauchergeheimnis direkt in den Salesforce External Client App OAuth Manager-Einstellungen abrufen.
baseUri
Die Basis-URI ist die Basis-URL Ihrer Salesforce-Organisation, die für die Interaktion mit Salesforce verwendet wird APIs. Dies hat die Form des folgenden Beispiels:`https://domainName.my.salesforce.com`.
appId
Die Anwendungs-ID ist die Kennung für Ihre externe Salesforce-Client-Anwendung (ECA). Sie können dies abrufen, indem Sie den OAuth Salesforce-Nutzungsendpunkt aufrufen. Es darf mit alphanumerischen Zeichen beginnen `0x` und nur alphanumerische Zeichen enthalten. [Dieses Feld bezieht sich auf den external\$1client\$1app\$1identifier im Salesforce-Rotationshandbuch.](https://help.salesforce.com/s/articleView?id=xcloud.eca_stage_oauth_credentials.htm&type=5)
Verbraucher-ID
Die Verbraucher-ID ist die Kennung für Ihren Salesforce External Client Application (ECA) -Verbraucher. Sie können dies abrufen, indem Sie den Endpunkt Salesforce OAuth Credentials by App ID aufrufen. Dieses Feld bezieht sich auf die consumer\$1id im [Salesforce-Rotationshandbuch](https://help.salesforce.com/s/articleView?id=xcloud.eca_stage_oauth_credentials.htm&type=5).
## Geheime Metadatenfelder
Im Folgenden sind die Metadatenfelder aufgeführt, die für die Rotation eines von Salesforce gespeicherten Geheimnisses erforderlich sind.
```
{
"apiVersion": "v65.0",
"adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:SalesforceClientSecret"
}
```
API-Version
Die Salesforce-API-Version ist die API-Version Ihrer Salesforce-Organisation. Die Version sollte mindestens v65.0 sein. Sie muss das Format haben, in dem es `vXX.X` sich um ein numerisches Zeichen `X` handelt.
adminSecretArn
(Optional) Der geheime Administrator-ARN ist der Amazon-Ressourcenname (ARN) für den geheimen Schlüssel, der die OAuth Administratoranmeldedaten enthält, die für die Rotation dieses Salesforce-Client-Geheimnisses verwendet werden sollen. Das Administratorgeheimnis sollte mindestens einen consumerKey- und ConsumerSecret-Wert innerhalb der geheimen Struktur enthalten. Es ist ein optionales Feld. Wenn es weggelassen wird, verwendet Secrets Manager während der Rotation die OAuth Anmeldeinformationen in diesem Geheimnis, um sich bei Salesforce zu authentifizieren.
## Ablauf der Nutzung
Kunden, die Salesforce-Geheimnisse in speichern, AWS Secrets Manager haben die Möglichkeit, ein Secret mit den im selben Secret gespeicherten Anmeldeinformationen zu rotieren oder die Anmeldeinformationen im Admin-Secret für die Rotation zu verwenden. Sie können Ihr Geheimnis mithilfe des [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)Anrufs erstellen, wobei der geheime Wert die oben genannten Felder und den Geheimtyp als enthält SalesforceClientSecret. Die Rotationskonfigurationen können mithilfe eines [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)Anrufs festgelegt werden. Dieser Aufruf erfordert die Angabe der Metadatenfelder wie im obigen Beispiel. Wenn Sie sich für eine Rotation entscheiden, bei der Anmeldeinformationen im selben Geheimnis verwendet werden, können Sie das adminSecretArn Feld überspringen. Darüber hinaus müssen Kunden bei dem [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)Anruf einen Rollen-ARN angeben, der dem Service die erforderlichen Berechtigungen für die Rotation des Secrets gewährt. Ein Beispiel für eine Berechtigungsrichtlinie finden Sie unter [Sicherheit und Berechtigungen](mes-security.md).
Kunden, die sich dafür entscheiden, ihre geheimen Daten abwechselnd mit einem separaten Satz von Anmeldeinformationen (die in einem Admin-Secret gespeichert sind) zu verwenden, sollten sicherstellen, dass sie das Admin-Geheimnis genauso erstellen wie Ihr Privatkundengeheimnis. AWS Secrets Manager Sie müssen den ARN dieses Admin-Secrets in den Metadaten der Rotation angeben, wenn [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)Sie Ihr Consumer Secret anfordern.
Die Rotationslogik folgt den Anweisungen von Salesforce.
# Großes ID-Aktualisierungstoken
## Geheime Wertfelder
Die folgenden Felder müssen im Secrets Manager Manager-Geheimnis enthalten sein:
```
{
"hostname": "Host Name",
"refreshToken": "Refresh Token"
}
```
hostname
Dies ist der Hostname, auf dem Ihre BigID-Instanz gehostet wird. Sie müssen den vollqualifizierten Domainnamen Ihrer Instanz eingeben.
RefreshToken
Das JWT-Benutzer-Aktualisierungstoken, das in der BigID-Konsole über Administration → Access Management → Benutzer auswählen → Token generieren → Speichern generiert wurde
## Ablauf der Nutzung
Sie können Ihr Geheimnis mithilfe des [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)Aufrufs mit dem geheimen Wert, der die oben genannten Felder enthält, und dem Geheimtyp Big IDClient Secret erstellen. Die Rotationskonfigurationen können mithilfe eines [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)Anrufs festgelegt werden. Sie müssen in dem [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)Anruf auch einen Rollen-ARN angeben, der dem Dienst die erforderlichen Berechtigungen für die Rotation des Secrets gewährt. Ein Beispiel für eine Berechtigungsrichtlinie finden Sie unter [Sicherheit und Berechtigungen](mes-security.md). Beachten Sie, dass das Metadatenfeld für die Rotation für diesen Partner leer gelassen werden kann.
# Snowflake-Schlüsselpaar
## Geheime Wertfelder
Die folgenden Felder müssen im Secrets Manager Manager-Geheimnis enthalten sein:
```
{
"account": "Your Account Identifier",
"user": "Your user name",
"privateKey": "Your private Key",
"publicKey": "Your public Key",
"passphrase": "Your Passphrase"
}
```
user
Der Snowflake-Benutzername, der dieser Schlüsselpaar-Authentifizierung zugeordnet ist. Dieser Benutzer muss in Snowflake so konfiguriert sein, dass er die Schlüsselpaar-Authentifizierung akzeptiert, und der öffentliche Schlüssel muss dem Profil dieses Benutzers zugewiesen werden.
Konto
Ihre Snowflake-Konto-ID, die zum Herstellen der Verbindung verwendet wurde. Dies kann aus Ihrer Snowflake-URL (dem Teil vor .snowflakecomputing.com) extrahiert werden
privateKey
Der private RSA-Schlüssel im PEM-Format, der für die Authentifizierung verwendet wird. Die BEGIN/END Markierungen sind optional.
Öffentlicher Schlüssel
Das Gegenstück zum öffentlichen Schlüssel im PEM-Format, das dem privaten Schlüssel entspricht. Die BEGIN/END Markierungen sind optional.
Passphrase
(Optional) Dieses Feld bezieht sich auf die Passphrase, die zum Entschlüsseln des verschlüsselten privaten Schlüssels verwendet wurde.
## Geheime Metadatenfelder
Im Folgenden sind die Metadatenfelder für Snowflake aufgeführt:
```
{
"cryptographicAlgorithm": "Your Cryptographic algorithm",
"encryptPrivateKey": "True/False"
}
```
Kryptografischer Algorithmus
(Optional) Dies bezieht sich auf den Algorithmus, der für die Schlüsselgenerierung verwendet wird. Sie haben die Wahl zwischen 3 Algorithmen:`RS256|RS384|RS512`. Dieses Feld ist optional und der gewählte Standardalgorithmus ist RS256.
encryptPrivateKey
(Optional) In diesem Feld können Sie auswählen, ob Sie Ihren privaten Schlüssel verschlüsseln möchten. Standardmäßig lautet er "false". Die Passphrase für die Verschlüsselung wird zufällig generiert.
## Ablauf der Nutzung
Sie können Ihr Geheimnis mithilfe des [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)Aufrufs erstellen, dessen geheimer Wert die oben genannten Felder und den Geheimtyp als enthält SnowflakeKeyPairAuthentication. Die Rotationskonfigurationen können mithilfe eines [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)Anrufs festgelegt werden. Sie können optional die geheimen Metadatenfelder entsprechend Ihren Anforderungen angeben. Sie müssen in dem [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)Anruf auch einen Rollen-ARN angeben, der dem Dienst die erforderlichen Berechtigungen für die Rotation des Secrets gewährt. Ein Beispiel für eine Berechtigungsrichtlinie finden Sie unter [Sicherheit und Berechtigungen](mes-security.md). Beachten Sie, dass das Metadatenfeld für die Rotation für diesen Partner leer gelassen werden kann.
# Sicherheit und Berechtigungen
Für verwaltete externe Geheimnisse müssen Sie die Administratorrechte Ihrer Drittanbieter-Anwendungskonten nicht mit anderen teilen. AWS Stattdessen verwendet der Rotationsprozess die von Ihnen bereitgestellten Anmeldeinformationen und Metadaten, um autorisierte API-Aufrufe an die Drittanbieteranwendung zur Aktualisierung und Validierung der Anmeldeinformationen zu senden.
Verwaltete externe Geheimnisse unterliegen den gleichen Sicherheitsstandards wie andere Secrets Manager Manager-Geheimtypen. Geheime Werte werden im Ruhezustand mit Ihren KMS-Schlüsseln und bei der Übertragung mit TLS verschlüsselt. Der Zugriff auf geheime Daten wird durch IAM-Richtlinien und ressourcenbasierte Richtlinien gesteuert. Wenn Sie einen vom Kunden verwalteten Schlüssel zur Verschlüsselung Ihres Geheimnisses verwenden, müssen Sie die IAM-Richtlinie der Rotationsrolle und die CMK-Vertrauensrichtlinie aktualisieren, um die erforderlichen Berechtigungen für eine erfolgreiche Rotation bereitzustellen.
Damit die Rotation ordnungsgemäß funktioniert, müssen Sie Secrets Manager mit bestimmten Berechtigungen zur Verwaltung des geheimen Lebenszyklus ausstatten. Diese Berechtigungen können auf einzelne Geheimnisse beschränkt werden und folgen dem Prinzip der geringsten Rechte. Die von Ihnen angegebene Rotationsrolle wird bei der Einrichtung validiert und ausschließlich für Rotationsvorgänge verwendet.
Sie können den IP-Zugang auf Ihre externe Ressource beschränken, indem Sie die [AWS IP-Bereiche](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html) für EC2 nur in der Region zulassen, in der Ihr Secret existiert. Diese Liste der IP-Bereiche kann sich ändern, sodass Sie Ihre Eingangsregeln regelmäßig aktualisieren sollten.
AWS Secrets Manager bietet auch Single-Touch-Lösungen zum Erstellen der IAM-Richtlinie mit den erforderlichen Berechtigungen, um das Geheimnis zu verwalten, wenn das Geheimnis über die Secrets Manager-Konsole erstellt wird. Die Berechtigungen für diese Rolle sind für jeden Integrationspartner in jeder Region begrenzt.
**Beispiel für eine Berechtigungsrichtlinie:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowRotationAccess",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue",
"secretsmanager:UpdateSecretVersionStage"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"secretsmanager:resource/Type": "SalesforceClientSecret"
}
}
},
{
"Sid": "AllowPasswordGenerationAccess",
"Action": [
"secretsmanager:GetRandomPassword"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
[Hinweis: Die Liste der Geheimtypen, die für SecretsManager:Resource/Type verfügbar sind, finden Sie unter Integrationspartner.](mes-partners.md)
**Beispiel für eine Vertrauensrichtlinie:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SecretsManagerPrincipalAccess",
"Effect": "Allow",
"Principal": {
"Service": "secretsmanager.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:*"
}
}
}
]
}
```
# Verwaltete externe Geheimnisse überwachen und Fehler beheben
Verwaltete externe Geheimnisse bieten umfassende Überwachungsfunktionen anhand von AWS CloudTrail Protokollen und CloudWatch Amazon-Metriken. Alle Rotationsaktivitäten werden mit detaillierten Informationen über Erfolg und Misserfolg sowie alle während des Prozesses aufgetretenen Fehler protokolliert.
Zu den häufigsten Problemen im Rotations-Workflow gehören eine falsche Konfiguration der Rollenberechtigungen oder des geheimen Werts. Wenn diese Felder nicht in dem von den Integrationspartnern angegebenen Format festgelegt werden, kann dies zu Fehlern bei der Rotation führen, da der Service dann nicht auf den geheimen Schlüssel zugreifen oder eine Verbindung mit dem Integrationspartner-Client herstellen kann, um den geheimen Schlüssel zu aktualisieren. Andere Probleme können Probleme mit der Netzwerkkonnektivität, der Ablauf von Anmeldeinformationen oder die Verfügbarkeit von Partnerdiensten sein. Der verwaltete Rotationsservice umfasst Wiederholungslogik und Fehlerbehandlung, um die Zuverlässigkeit zu maximieren
Sie können Rotationspläne, Erfolgsquoten und Leistungskennzahlen über Amazon überwachen CloudWatch. Sie können benutzerdefinierte Alarme über [Event Bridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html) konfigurieren, um Sie auf Fehler bei der Rotation oder andere Probleme aufmerksam zu machen, die Ihrer Aufmerksamkeit bedürfen.
# Migrieren vorhandener Geheimnisse
Sie haben die Möglichkeit, Ihre vorhandenen Partnergeheimnisse auf verwaltete externe Geheimnisse zu migrieren. Dies kann mit einem [UpdateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecret.html)Anruf erfolgen. Sie müssen den geheimen Wert und die Metadaten wie in der Anleitung beschrieben aktualisieren. Wenn Sie bereits eine benutzerdefinierte Rotationslogik für diese Geheimnisse eingerichtet haben, müssen Sie die Rotation zunächst mithilfe eines [CancelRotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CancelRotateSecret.html)Anrufs abbrechen.
# Einschränkungen und Überlegungen
Verwaltete externe Geheimnisse unterstützen keine kurzlebigen Geheimnisse mit einer Lebensdauer von weniger als vier Stunden. Geheimnisse, die mit Infrastrukturzertifikaten für öffentliche Schlüssel verknüpft sind, werden ebenfalls nicht unterstützt.
Die verwalteten externen Geheimnisse werden nur für Partner unterstützt, die sich bei angemeldet haben. AWS Secrets Manager Eine vollständige Liste finden Sie unter [Integrationspartner](mes-partners.md). Sehen Sie Ihren Partner nicht auf der Liste? [Sagen Sie ihnen, sie sollen einsteigen AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/mes-onboarding/secrets-manager-mes-onboarding.html)
Wenn Sie geheime Werte direkt vom Partner-Client-Service außerhalb der Secrets Manager-Rotationsmaschine aktualisieren oder rotieren, kann die Synchronisation zwischen den Systemen unterbrochen werden. Secrets Manager bietet zwar Konsolenwarnungen und programmatische Verhinderung für manuelle Aktualisierungen geheimer Werte, Sie können Werte jedoch weiterhin direkt in Ihrer Drittanbieteranwendung ändern. Um die Synchronisation nach out-of-band Updates wieder herzustellen, müssen Sie den geheimen Wert so aktualisieren, dass er den richtigen geheimen Wert wiedergibt, und dann die [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)API aufrufen, um weiterhin erfolgreiche Rotationen sicherzustellen.