Cifrado en reposo Cifrado en tránsito Privacidad del tráfico entre redes Administración de claves de cifrado

Protección de los datos en AWS Secrets Manager

El modelo de responsabilidad compartida de AWS se aplica a la protección de datos de AWS Secrets Manager. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta toda la Nube de AWS. Es responsable de mantener el control sobre su contenido que se encuentra alojado en esta infraestructura. Este contenido incluye la configuración de seguridad y las tareas de administración para el Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de datos, consulte Preguntas frecuentes sobre la privacidad de datos. Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog AWSShared Responsability Model and GDPR en el Blog de seguridad de AWS.

Con fines de protección de datos, recomendamos proteger las credenciales de Cuenta de AWS y configurar cuentas de usuario individuales con AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir con sus obligaciones laborales. También recomendamos proteger sus datos de las siguientes maneras:

Utilice autenticación multifactor (MFA) en cada cuenta.
Utiliza SSL/TLS para comunicarse con los recursos de AWS. Secrets Manager admite TLS 1.2 y 1.3 en todas las regiones. Secrets Manager también admite un protocolo de cifrado de red con opción de intercambio de claves postcuántico para TLS (PQTLS) híbrida.
Firme las solicitudes programáticas a Secrets Manager utilizando un ID de clave de acceso y una clave de acceso secreta asociada a una entidad principal de IAM. O bien puede utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar las solicitudes.
Configure los registros de API y de actividad de los usuarios con AWS CloudTrail. Consulte AWS Secrets Manager Registra eventos con AWS CloudTrail.
Si necesita módulos criptográficos validados FIPS 140-2 al acceder a AWS a través de una interfaz de línea de comandos o una API, utilice un punto de conexión de FIPS. Consulte AWS Secrets Manager puntos finales.
Si utiliza la AWS CLI para acceder a Secrets Manager, Mitigue los riesgos de AWS CLI utilizarlos para almacenar sus AWS Secrets Manager secretos.

Cifrado en reposo

Secrets Manager utiliza el cifrado a través de AWS Key Management Service (AWS KMS) para proteger la confidencialidad de los datos en reposo. AWS KMS proporciona un servicio de almacenamiento de claves y de cifrado que utilizan muchos servicios de AWS. Cada secreto de Secrets Manager se cifra con una clave de datos única. Cada clave de datos está protegida mediante una clave de KMS. Puede optar por utilizar el cifrado predeterminado con Clave administrada de AWS de Secrets Manager para la cuenta o puede crear su propia clave administrada por el cliente en AWS KMS. El uso de una clave administrada por el cliente le da un control de autorización más detallado sobre las actividades clave de KMS. Para obtener más información, consulte Cifrado y descifrado secretos en AWS Secrets Manager.

Cifrado en tránsito

Secrets Manager proporciona puntos de enlace seguros y privados para cifrar datos en tránsito. Los puntos de conexión seguros y privados permiten a AWS proteger la integridad de las solicitudes de la API a Secrets Manager. AWS requiere que las llamadas a la API sean firmadas por el autor de la llamada utilizando certificados X.509 o una clave de acceso secreta de Secrets Manager. Este requisito se indica en Proceso de firma de Signature Versión 4 (Sigv4).

Si utiliza la AWS Command Line Interface (AWS CLI) o cualquiera de los SDK de AWS para realizar llamadas a AWS, usted configura la clave de acceso que se va a utilizar. A continuación, esas herramientas utilizan automáticamente la clave de acceso para firmar las solicitudes por usted. Consulte Mitigue los riesgos de AWS CLI utilizarlos para almacenar sus AWS Secrets Manager secretos.

Privacidad del tráfico entre redes

AWS ofrece opciones para mantener la privacidad al enrutar el tráfico a través de rutas de red conocidas y privadas.

Tráfico entre el servicio y las aplicaciones y clientes locales

Tiene dos opciones de conectividad entre su red privada y AWS Secrets Manager:

Una conexión de Site-to-Site VPN de AWS. Para obtener más información, consulte ¿Qué es AWS Site-to-Site VPN?
Una conexión AWS Direct Connect. Para obtener más información, consulte ¿Qué es AWS Direct Connect?

Tráfico entre recursos de AWS en la misma región

Si quiere proteger el tráfico entre Secrets Manager y los clientes de API en AWS, configure un AWS PrivateLink para acceder de forma privada a los puntos de conexión de la API de Secrets Manager.

Administración de claves de cifrado

Cuando Secrets Manager necesita cifrar una nueva versión de los datos secretos protegidos, Secrets Manager envía una solicitud a AWS KMS para generar una nueva clave de datos desde la clave de KMS. Secrets Manager utiliza esta clave de datos para el cifrado de sobres. Secrets Manager almacena la clave de datos cifrada con el secreto cifrado. Cuando el secreto necesita ser descifrado, Secrets Manager pregunta a AWS KMS para descifrar la clave de datos. A continuación, Secrets Manager utiliza la clave de datos descifrada para descifrar el secreto cifrado. Secrets Manager nunca almacena la clave de datos en forma no cifrada y elimina la clave de la memoria lo antes posible. Para obtener más información, consulte Cifrado y descifrado secretos en AWS Secrets Manager.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Acceso en las instalaciones

Cifrado y descifrado de secretos