Seguridad y permisos - AWS Secrets Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Seguridad y permisos

Los secretos externos gestionados no requieren que compartas los privilegios de administrador de tus cuentas de aplicaciones de terceros. AWS En su lugar, el proceso de rotación utiliza las credenciales y los metadatos que usted proporciona para realizar llamadas autorizadas a la API a la aplicación de terceros con el fin de actualizar y validar las credenciales.

Los secretos externos gestionados mantienen los mismos estándares de seguridad que otros tipos de secretos de Secrets Manager. Los valores secretos se cifran en reposo con las claves de KMS y en tránsito mediante TLS. El acceso a los secretos se controla mediante políticas de IAM y políticas basadas en recursos. Si utilizas una clave gestionada por el cliente para cifrar tu secreto, tendrás que actualizar la política de IAM del rol de rotación y la política de confianza de CMK para proporcionar los permisos necesarios y garantizar que la rotación se realice correctamente.

Para que la rotación funcione correctamente, debes proporcionar a Secrets Manager permisos específicos para gestionar el ciclo de vida secreto. Estos permisos se pueden limitar a secretos individuales y seguir el principio del privilegio mínimo. La función de rotación que proporciona se valida durante la configuración y se utiliza exclusivamente para las operaciones de rotación.

AWS Secrets Manager también ofrece soluciones de un solo toque para crear la política de IAM con los permisos necesarios para gestionar el secreto al crear el secreto a través de la consola Secrets Manager. Los permisos para este rol se asignan a cada socio de integración de cada región.

Ejemplo de política de permisos:

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowRotationAccess",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:PutSecretValue",
        "secretsmanager:UpdateSecretVersionStage"
      ],
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "secretsmanager:resource/Type": "SalesforceClientSecret"
        }
      }
    },
    {
      "Sid": "AllowPasswordGenerationAccess",
      "Action": [
        "secretsmanager:GetRandomPassword"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

Nota: La lista de tipos de secretos disponibles para SecretsManager:resource/type se encuentra en Integration Partners.

Ejemplo de política de confianza:

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "SecretsManagerPrincipalAccess",
      "Effect": "Allow",
      "Principal": {
        "Service": "secretsmanager.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:*"
        }
      }
    }
  ]
}