Uso de un secreto administrado por el servicio y cifrado con una clave predeterminada Utilizar un secreto administrado por el servicio cifrado con una clave personalizada AWS KMS Uso de un secreto administrado por su cuenta

Protección de las credenciales de ubicaciones de almacenamiento con Secrets Manager

nota

La integración con Secrets Manager está disponible para el almacenamiento de objetos y Microsoft Azure Blob Storage.

DataSync usa ubicaciones para acceder a sus recursos de almacenamiento que se encuentran en las instalaciones, en otras nubes o en. AWS Algunos tipos de ubicaciones requieren que proporcione credenciales, como una clave de acceso y una clave secreta, o un nombre de usuario y una contraseña, para autenticarse con el sistema de almacenamiento. Cuando creas una DataSync ubicación que requiere credenciales para la autenticación, puedes usar AWS Secrets Manager (Secrets Manager) para almacenar el secreto de tus credenciales. Están disponibles las siguientes opciones:

Almacene el secreto en Secrets Manager mediante un secreto administrado por el servicio y cifrado con una clave predeterminada.
Almacene el secreto en Secrets Manager mediante un secreto administrado por el servicio y cifrado con una clave de AWS KMS administrada por su cuenta.
Guarde el secreto en Secrets Manager con un secreto y una clave que usted cree y administre. DataSync accede a este secreto mediante una función de IAM que usted proporcione.

En todos los casos, el secreto de Secrets Manager se guarda en tu cuenta, lo que te permite actualizarlo según sea necesario, independientemente del DataSync servicio. Los secretos creados y gestionados por DataSync llevan el prefijoaws-datasync.

Solo se le cobrará por el uso de secretos si crea secretos externos DataSync o realiza llamadas a la API a secretos gestionados por el servicio desde servicios distintos de ellos. DataSync

Uso de un secreto administrado por el servicio y cifrado con una clave predeterminada

Al crear tu DataSync ubicación, solo tienes que proporcionar la cadena secreta. DataSynccrea un recurso secreto en Secrets Manager para almacenar el secreto que usted proporciona y lo cifra con la clave KMS de Secrets Manager predeterminada para su cuenta. Puedes cambiar el valor secreto directamente en Secrets Manager o actualizando la ubicación mediante la DataSync consola o el SDK. AWS CLI Cuando eliminas el recurso de ubicación o lo actualizas para usar un secreto personalizado, el recurso secreto se DataSync elimina automáticamente.

nota

Para crear, modificar y eliminar recursos secretos en Secrets Manager, DataSync debe tener los permisos adecuados. Para más información, consulte Políticas administradas de AWS para DataSync.

Utilizar un secreto administrado por el servicio cifrado con una clave personalizada AWS KMS

Al crear la DataSync ubicación, proporciona el secreto y el ARN de la clave. AWS KMS DataSync crea automáticamente un recurso secreto en Secrets Manager para almacenar el secreto que proporciones y lo cifra con tu AWS KMS clave. Puedes cambiar el valor secreto directamente en Secrets Manager o actualizando la ubicación mediante la DataSync consola o el SDK. AWS CLI Cuando eliminas el recurso de ubicación o lo actualizas para usar un secreto personalizado, el recurso secreto se DataSync elimina automáticamente.

nota

AWS KMS La clave debe utilizar un cifrado simétrico con el tipo de ENCRYPT_DECRYPT clave. Para obtener más información, consulte Cómo elegir una clave de AWS Key Management Service en la tag Guía del usuario de AWS Secrets Manager .

Para crear, modificar y eliminar recursos secretos en Secrets Manager, DataSync debe tener los permisos adecuados. Para obtener más información, consulte Políticas administradas de AWS : AWSDataSyncFullAccess.

Además de usar la política DataSync administrada correcta, también necesita los siguientes permisos:


{
    "Sid": "DataSyncKmsPermissions",
    "Effect": "Allow",
    "Action": [
        "kms:Encrypt",
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "your-kms-key-arn",
    "Condition": {
        "StringLike": {
            "kms:ViaService": "secretsmanager.*.amazonaws.com"
        }
    }
}

your-kms-key-arnSustitúyala por el ARN de la clave KMS.

Para recuperar y descifrar el valor secreto, DataSync utiliza un rol vinculado a un servicio (SLR) para acceder a la clave. AWS KMS Para asegurarte de que DataSync puedes usar tu clave KMS, agrega lo siguiente a la declaración de política de la clave:


{
    "Sid": "Allow DataSync to use the key for decryption",
    "Effect": "Allow",
    "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/aws-service-role/datasync.amazonaws.com/AWSServiceRoleForDataSync"
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

111122223333Sustitúyala por tu Cuenta de AWS ID.

Uso de un secreto administrado por su cuenta

Antes de crear tu DataSync ubicación, crea un secreto en Secrets Manager. El valor del secreto solo debe contener la cadena del secreto en texto sin formato. Al crear la DataSync ubicación, proporciona el ARN del secreto y una función de IAM que se DataSync utiliza para acceder tanto a su secreto como a la AWS KMS clave utilizada para cifrarlo. Para crear un rol de IAM con los permisos adecuados, realice lo siguiente:

Abra la consola de IAM en https://console.aws.amazon.com/iam/.
En el panel de navegación situado a la izquierda, en Administración de acceso, elija Roles y luego Crear rol.
En la página Seleccionar entidad de confianza, en Tipo de entidad de confianza, elija Servicio de AWS .
En Caso de uso, elige una opción DataSyncde la lista desplegable. Elija Siguiente.
En la página Agregar permisos, elija Siguiente. Introduzca un nombre para el rol y, a continuación, seleccione Crear rol.
En la página Roles, busque el rol que acaba de crear y seleccione el nombre.
En la página Detalles del rol, seleccione la pestaña Permisos. Seleccione Agregar permisos y, a continuación, Crear política en línea.

Seleccione la pestaña JSON y agregue los siguientes permisos en el editor de políticas:

your-secret-nameSustitúyelo por el nombre de tu secreto de Secrets Manager.

Elija Siguiente. Introduzca un nombre para la política y, a continuación, seleccione Crear política.

(Recomendado) Para evitar el problema del suplente confuso entre servicios, haga lo siguiente:

En la página Detalles del rol, seleccione la pestaña Relaciones de confianza. Elija Editar la política de confianza.

Actualice la política de confianza mediante el siguiente ejemplo, que incluye las claves de contexto de condición global de aws:SourceArn y aws:SourceAccount:

Elija Actualizar política.

Puede especificar este rol al crear la ubicación. Si tu secreto utiliza una AWS KMS clave de cifrado gestionada por el cliente, también tendrás que actualizar la política de claves para permitir el acceso desde la función que creaste en el procedimiento anterior. Para actualizar la política, añade lo siguiente a la declaración de política de tu AWS KMS clave:


{
    "Sid": "Allow DataSync use of the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam:111122223333:role/your-role-name”
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

111122223333Sustitúyala por tu Cuenta de AWS ID y your-role-name por el nombre de la función de IAM que creaste en el procedimiento anterior.

nota

Cuando guardas secretos en Secrets Manager, Cuenta de AWS incurres en cargos. Para obtener más información acerca de los precios, consulte Precios de AWS Secrets Manager.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Seguridad de la infraestructura

Cuotas