Sicherheit und Berechtigungen - AWS Secrets Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheit und Berechtigungen

Für verwaltete externe Geheimnisse müssen Sie die Administratorrechte Ihrer Drittanbieter-Anwendungskonten nicht mit anderen teilen. AWS Stattdessen verwendet der Rotationsprozess die von Ihnen bereitgestellten Anmeldeinformationen und Metadaten, um autorisierte API-Aufrufe an die Drittanbieteranwendung zur Aktualisierung und Validierung der Anmeldeinformationen zu senden.

Verwaltete externe Geheimnisse unterliegen denselben Sicherheitsstandards wie andere Secrets Manager Manager-Geheimtypen. Geheime Werte werden im Ruhezustand mit Ihren KMS-Schlüsseln und bei der Übertragung mit TLS verschlüsselt. Der Zugriff auf geheime Daten wird durch IAM-Richtlinien und ressourcenbasierte Richtlinien gesteuert. Wenn Sie einen vom Kunden verwalteten Schlüssel zur Verschlüsselung Ihres Geheimnisses verwenden, müssen Sie die IAM-Richtlinie der Rotationsrolle und die CMK-Vertrauensrichtlinie aktualisieren, um die erforderlichen Berechtigungen für eine erfolgreiche Rotation bereitzustellen.

Damit die Rotation ordnungsgemäß funktioniert, müssen Sie Secrets Manager mit bestimmten Berechtigungen zur Verwaltung des geheimen Lebenszyklus ausstatten. Diese Berechtigungen können auf einzelne Geheimnisse beschränkt werden und folgen dem Prinzip der geringsten Rechte. Die von Ihnen angegebene Rotationsrolle wird bei der Einrichtung validiert und ausschließlich für Rotationsvorgänge verwendet.

AWS Secrets Manager bietet auch Single-Touch-Lösungen zum Erstellen der IAM-Richtlinie mit den erforderlichen Berechtigungen, um das Geheimnis zu verwalten, wenn das Geheimnis über die Secrets Manager-Konsole erstellt wird. Die Berechtigungen für diese Rolle sind für jeden Integrationspartner in jeder Region begrenzt.

Beispiel für eine Berechtigungsrichtlinie:

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowRotationAccess",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:PutSecretValue",
        "secretsmanager:UpdateSecretVersionStage"
      ],
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "secretsmanager:resource/Type": "SalesforceClientSecret"
        }
      }
    },
    {
      "Sid": "AllowPasswordGenerationAccess",
      "Action": [
        "secretsmanager:GetRandomPassword"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

Hinweis: Die Liste der Geheimtypen, die für SecretsManager:Resource/Type verfügbar sind, finden Sie unter Integrationspartner.

Beispiel für eine Vertrauensrichtlinie:

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "SecretsManagerPrincipalAccess",
      "Effect": "Allow",
      "Principal": {
        "Service": "secretsmanager.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:*"
        }
      }
    }
  ]
}