Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Úselo AWS Secrets Manager para proteger los datos de los flujos de trabajo de C2C

AWS Secrets Manager es un servicio de almacenamiento secreto que puede utilizar para proteger las credenciales de la base de datos, las claves de API y otra información secreta. A continuación, en el código puede reemplazar las credenciales codificadas con una llamada a la API de Secrets Manager. Esto ayuda a garantizar la integridad del secreto si alguien examina el código, dado que el secreto no está allí. Para obtener información general, consulte la Guía del usuario de AWS Secrets Manager.

Secrets Manager cifra los secretos mediante AWS Key Management Service claves. Para obtener más información, consulte Cifrado y descifrado de secretos en AWS Key Management Service.

Integraciones gestionadas para AWS IoT Device Management integraciones con las AWS Secrets Manager que puede almacenar sus datos en Secrets Manager y utilizar el ID secreto en sus configuraciones.

Cómo utilizan los secretos las integraciones gestionadas

Open Authorization (OAuth) es un estándar abierto para la autorización de acceso delegado que permite a los usuarios conceder a sitios web o aplicaciones el acceso a su información en otros sitios web sin compartir sus contraseñas. Es una forma segura de que las aplicaciones de terceros accedan a los datos del usuario en nombre del usuario, lo que proporciona una alternativa más segura a compartir contraseñas.

En OAuth, un identificador de cliente y un secreto de cliente son credenciales que identifican y autentican una aplicación cliente cuando solicita un token de acceso.

Integraciones gestionadas para AWS IoT Device Management comunicarse con OAuth los clientes que utilizan los flujos de trabajo de C2C. Los clientes deben proporcionar el ID y el secreto del cliente para comunicarse. Los clientes de las integraciones gestionadas almacenarán un identificador de cliente y un secreto de cliente en sus AWS cuentas, y las integraciones gestionadas leerán el identificador y el secreto de cliente de nuestra cuenta de cliente.

Para crear un secreto

Para crear un secreto, sigue los pasos que se indican en Crear un AWS Secrets Manager secreto en la Guía del AWS Secrets Manager usuario.

Debes crear tu secreto con una AWS KMS clave gestionada por el cliente para que las integraciones gestionadas puedan leer el valor secreto. Para obtener más información, consulta los permisos de la AWS KMS clave en la Guía del AWS Secrets Manager usuario.

También debe utilizar las políticas de IAM de la siguiente sección.

Conceda acceso a las integraciones gestionadas AWS IoT Device Management para recuperar el secreto

Para permitir que las integraciones gestionadas recuperen el valor secreto de Secrets Manager, incluye los siguientes permisos en la política de recursos para el secreto cuando lo crees.

JSON

{
  "Version":"2012-10-17",		 	 	 
  "Statement" : [ {
    "Effect" : "Allow",
    "Principal" : {
      "Service" : "iotmanagedintegrations.amazonaws.com"
    },
    "Action" : [ "secretsmanager:GetSecretValue" ],
    "Resource" : "*" ,
    "Condition": {
        "StringEquals": {
          "aws:SourceArn": "arn:aws:iotmanagedintegrations:AWS Region:account-id:account-association:account-association-id"
        
        }
      }
  } ]
}

Añada la siguiente declaración a la política de su clave administrada por el cliente AWS KMS .

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Principal": {
                "Service": [
                    "iotmanagedintegrations.amazonaws.com"
                ]
            },
            "Resource": [
            "arn:aws:kms:us-east-1:123456789012:key/*"
            ]
        }

    ]
}